ProjectSauron, il nuovo sistema di cyber-spionaggio

Accesso alle comunicazioni governative criptate, campagne di spionaggio segrete, personalizzate e a lungo termine tanto da far sorgere il sospetto della copertura di uno Stato. Dopo Regin e Flame, preoccupa ProjectSauron, un sistema di cyber-spionaggio ad alto livello che ha preso di mira per cinque anni organizzazioni chiave nell'offerta di servizi statali di alcuni Paesi, dalla pubblica amministrazione al settore militare, dalle compagnie di telecomunicazione agli istituti finanziari. (sfoglia per saperne di più)

ProjectSauron prende il nome dal "cattivo" del Signore degli Anelli ed è stato scoperto da due società di sicurezza informatica, Kaspersky e Symantec, mentre lavoravano ad un'anomalia nel network di un cliente.

È "un gruppo criminale supportato da uno stato-nazione che attacca organizzazioni nazionali con un set unico di strumenti per ciascuna vittima", una sorta di sofisticata personalizzazione che rende praticamente inutili i sistemi di controllo tradizionali, spiega Kaspersky. "Sono state identificate più di 30 organizzazioni colpite in Russia, Iran e Ruanda e potrebbero essere stati coinvolti Paesi di lingua italiana".

Gli esperti di Symantec hanno trovato tracce di infezione informatica in 36 computer di sette organizzazioni, tra cui una compagnia aerea cinese, un'ambasciata in Belgio e un ente in Svezia. Il numero maggiore di vittime dell'attività di spionaggio, sia organizzazioni che singoli individui, è tuttavia in Russia.

Tra i metodi usati per rubare i dati anche le email e i server DNS, con informazioni rubate dal traffico giornaliero della vittima. "ProjectSauron dà l'impressione di essere un gruppo tradizionale esperto - spiegano i ricercatori - che si è notevolmente impegnato nello studio di altri gruppi molto avanzati, come Duqu, Flame, Equation e Regin, adottando alcune delle sue tecniche più innovative e migliorando le proprie per non venire scoperti".

Un precedente è stato Regin, un malware usato per il cyberspionaggio, che ha attaccato governi e istituzioni dal 2008 al 2014 riuscendo a copiare file, catturare screenshot e rubare password. I paesi più colpiti, Russia e Arabia Saudita. Secondo gli esperti, Regin aveva le stesse caratteristiche di Stuxnet, il virus che secondo Edward Snowden fu progettato dai governi di Usa e Israele per attaccare i computer del programma nucleare in Iran. "L'unico modo per resistere a queste minacce è avere molti livelli di protezione, basati su una catena di sensori che monitorano anche la minima anomalia nel flusso di lavoro, a cui si aggiunge l'intelligence sulle minacce e l'analisi forense per trovare gli schemi anche quando sembra che non ce ne siano", spiega Vitaly Kamluk, Principal Security Researcher di Kaspersky Lab.