Testata registrata presso il tribunale di Milano in data 20 luglio 2012 al n° 320 – ISSN 2281 – 1249

Attualità

Flame, il virus spia

La scoperta di Worm.Win32.Flame, del tutto inaspettata, è avvenuta durante un’indagine commissionata dall’ITU (International Telecommunication Union), mentre esperti di sicurezza lavoravano all’identificazione di un ulteriore e ancora sconosciuto programma nocivo, denominato Wiper. I primi a descrivere Flame sono stati un centro di ricerca accademico ungherese e l’azienda di sicurezza digitale russa Kaspersky, anche se la prima segnalazione risale ad almeno cinque anni fa, quando il programma era finito nell’elenco di decine di migliaia di nuovi software creati per scopi non certo amichevoli (malware). Ai tempi non era stato esaminato a fondo, ma archiviato per eventuali confronti in futuro, poi in pochi giorni i ricercatori hanno scoperto che poteva inglobare le parole digitate sulla tastiera, ascoltare le conversazioni dai microfoni e le telefonate attraverso internet, copiare le immagini mostrate sullo schermo, intercettare il traffico dati e molto altro ancora. In pratica è stato progettato per lo spionaggio informatico, in quanto consente di monitorare costantemente l’attività dei proprietari dei dispositivi, ed è stato ampiamente utilizzato come arma informatica per compiere attacchi mirati in diversi Paesi, come Iran, Palestina, Libia, Siria, e Sudan.

Ma ciò che lo rende davvero pericoloso è che, quando infetta un personal computer non connesso ad internet, può raccogliere i dati e inviarli a server di comando e controllo dislocati in diverse parti del mondo. E se Bluetooth è attivato è anche capace di rubare i contatti telefonici dai cellulari nelle immediate vicinanze. Immagini, comunicazioni via instant-messaging e posta elettronica vengono così memorizzate e comunicate agli autori dell’attacco. Tutto il traffico che passa dalla rete locale viene scansionato e username e password di tutta l’utenza vengono copiati. In questo modo, partendo da uno dei pc della rete si può scalare l’organigramma per ottenere maggiori privilegi. L’attacco avviene in diversi step: Flame comincia a insinuarsi con una componente che fornisce informazioni sulla macchina. In questa fase si possono già fotografare screenshot ogni 12 secondi, nel caso in cui venga utilizzata un’applicazione particolarmente interessante come ad esempio Outlook. La diversa natura delle informazioni rubate, che può includere documenti, screenshot, registrazioni audio e intercettazioni del traffico di rete, lo rende uno dei più avanzati e completi strumenti di attacco mai scoperti finora, insomma un vero e proprio super-virus evoluto, in grado di sottrarre in modo indebito informazioni di vitale importanza. Il vettore dell’infezione deve ancora essere identificato, ma è indubbio che Flame ha la capacità di riprodursi su una rete locale utilizzando diversi metodi, tra cui la vulnerabilità della stampante o il metodo di infezione tramite la porta USB. Eppure, aldilà degli elementi citati, ciò che ha sollevato maggiormente un’ondata di reazioni, sconcertate e talvolta entusiaste, tra gli esperti di crittografia, sono state le potenti formule matematiche in grado di violare un autentico pilastro della sicurezza online, ossia la funzione crittografica dei certificati digitali di Microsoft connessi a Windows Vista e Windows 7.

La geografia degli attacchi, l’utilizzo di uno specifico software per le vulnerabilità e il fatto che solo i computer selezionati vengano presi di mira, indicano chiaramente che Flame appartiene alla stessa categoria delle armi informatiche conosciute più importanti, come Stuxnet e DuQu. Il rischio di un conflitto cibernetico è uno degli argomenti più discussi degli ultimi anni e questo programma sembra aver fatto un passo ulteriore. È importante capire che queste armi informatiche possono essere facilmente utilizzate dovunque e che, a differenza della guerra convenzionale, i Paesi più sviluppati in questo caso sono proprio i più vulnerabili.

Translate »