Un nuovo software malevolo usato per avanzate attività di cyberspionaggio è stato individuato da due colossi della sicurezza informatica, l’americana Symantec e la russa Kaspersky. Tra le sue vittime, una trentina di target di alto profilo appartenenti a organizzazioni governative, scientifiche, militari, finanziarie o ambasciate localizzate in Russia, Cina, Svezia, Belgio, Iran, Ruanda. Ma si tratterebbe solo della punta dell’iceberg. E, come vedremo tra poco, alcuni dei target potrebbero essere anche italiani.
L’OCCHIO DI SAURON
Il malware contiene nel codice un riferimento a Sauron, l’antagonista del Signore degli Anelli, l’occhio infiammato che tutto vede. Per questo motivo Kaspersky l’ha battezzato ProjectSauron (Progetto Sauron), mentre Symantec ha definito Strider (altra citazione della saga di Tolkien) il gruppo che lo avrebbe creato – mentre chiama Remsec il sofware impiegato.
Ma al di là dei riferimenti letterari o cinematografici, i ricercatori delle due aziende – uscite quasi in contemporanea coi rispettivi report (qua Kaspersky; qua Symantec – sottolineano il fatto che si tratti di una piattaforma di spionaggio avanzata, sviluppata probabilmente da uno Stato, attiva da almeno cinque anni e fino ad oggi passata inosservata. Nessuno azzarda una attribuzione, cioè prova a ipotizzare esplicitamente chi possa esserci dietro. Si limitano a osservare che i suoi creatori si sono basati sul funzionamento, i successi e i problemi di precedenti malware governativi – come Regin (attribuito a intelligence americana e britannica), oppure Flame, Duqu e Stuxnet (attribuiti a statunitensi-israeliani) – per migliorare il proprio prodotto. Per cui Sauron sarebbe in grado, tra le altre cose, di nascondersi molto bene e sfuggire agli antivirus: ad esempio «molte delle sue funzioni risiedono solo nella memoria del computer e non sono salvate su disco», specifica Symantec. Inoltre si sarebbe dedicato a colpire solo specifici target di alto valore per la raccolta di intelligence focalizzandosi su pochi Paesi. Il suo intento è spiare su obiettivi che potrebbero essere d’interesse per i servizi segreti, rubando password, chiavi crittografiche e file.
ITALIANI TRA LE VITTIME?
Tra i suoi bersagli potrebbero esserci anche italiani, o persone che parlano in italiano, che abbiano a che fare con documenti sensibili.
«Ci potrebbero essere delle vittime in Paesi dove si parla italiano», dice letteralmente l’analisi di Kaspersky.
«I moduli di ProjectSauron che abbiamo trovato sono in grado di rubare documenti, registrare quanto digitato sulla tastiera e trafugare chiavi di cifratura da computer infetti o dalle chiavette Usb collegate», spiega a La Stampa un portavoce di Kaspersky.
«Tra le informazioni cercate dagli attaccanti, abbiamo scoperto alcune parole italiane come “codice”, “segreto”, “StrCodUtente”. Ciò suggerisce che si siano preparati a colpire anche target che parlano italiano. Tuttavia, al momento non abbiamo conoscenza di alcuna specifica vittima».
Dimostrando ulteriormente la sua capacità di nascondersi bene, ProjectSauron utilizza una infrastruttura nuova per ogni obiettivo da colpire: vuol dire nuovi server, nuovi domini, nuovi indirizzi IP, che di solito invece sono riutilizzati dagli aggressori finendo per diventare delle briciole di pane raccolte poi dai ricercatori intenti a ricostruire e collegare attacchi diversi. Kaspersky ha trovato 28 domini collegati a 11 indirizzi IP sparsi tra Stati Uniti ed Europa che potrebbero essere connessi alla campagna di spionaggio: tra questi c’è anche un IP italiano.
