Un sistema di spionaggio informatico su larga scala, attivo da almeno 5 anni e che avrebbe colpito governi, ambasciate, centri di ricerca e altri obiettivi sensibili in tutto il pianeta. È questa la conclusione a cui sono giunti i laboratori Kaspersky nel corso di un’indagine che ha impegnato gli esperti di sicurezza per più di 3 mesi. L’operazione battezzata “Ottobre Rosso” (riferimento al film “Caccia a Ottobre Rosso” del 1990) ha caratteristiche sconcertanti: una rete di spionaggio globale che utilizza virus estremamente evoluti, in grado di sottrarre informazioni da qualsiasi tipo di dispositivo. Nel mirino non solo computer, ma anche smartphone (iPhone, Nokia, Windows Mobile), dispositivi di rete Cisco e persino dischi esterni rimovibili, dai quali il virus sarebbe in grado di prelevare anche i file cancellati e recuperarne il contenuto attraverso un software dedicato. Insomma: un sistema di spionaggio senza precedenti e che in questo momento è ancora attivo e in perfetta efficienza.

Le vittime identificate fino a questo momento sono meno di 300, ma secondo gli esperti si tratta solo della cima dell’iceberg. I pirati informatici che hanno creato il network di spionaggio hanno infatti agito in maniera estremamente subdola ed è probabile che molti dei computer infetti non siano stati ancora scoperti. A preoccupare, però, è la tipologia dei bersagli scelti. Tra quelli identificati con certezza ci sono decine di ambasciate, tra cui anche quelle di Stati Uniti, Israele, Germania e Italia. L’elenco comprende anche istituti di ricerca, enti governativi e per il commercio internazionale, agenzie aerospaziali e persino centrali nucleari.

I pirati informatici hanno diffuso il trojan sfruttando vulnerabilità già conosciute che colpiscono Microsoft Office ed Excel, inviando il virus attraverso una semplice email. La rete Ottobre Rosso, secondo Kaspersky, utilizza software “progettati per adattarsi rapidamente alle configurazioni dei diversi sistemi e dei gruppi di intelligence delle macchine infette”. Le informazioni rubate dai sistemi comprendono qualsiasi tipo di documento, compresi i file in formato acid, che fanno riferimento al software Acid Cryptofiler usato da enti come l’Unione Europea e la Nato. Molte delle informazioni raccolte, come password di accesso o certificati digitali, sarebbero inoltre state utilizzate per compromettere sistemi collegati a quelli già colpiti, creando così un formidabile network di spionaggio. Come se non bastasse, il virus integra un modulo per la sua “resurrezione”: in caso di rimozione i suoi autori possono ripristinarne il funzionamento a distanza.

Secondo i primi riscontri, gli autori di questo attacco in larga scala sarebbero di origine russa, ipotesi derivata sulla base della lingua usata nei frammenti di testo e nei commenti individuati all’interno del codice del virus. Più difficile individuare dove si nascondano. La rete Rocra (abbreviazione di Red October) è controllata attraverso 60 domini diversi e da una rete di server estremamente complessa. Proprio l’analisi dei dati contenuti in uno di questi ha permesso di “datare” la rete di spionaggio. I file più vecchi fanno riferimento al maggio del 2007, anno nel quale il sistema era sicuramente già attivo. Secondo gli analisti, alla rete Ottobre Rosso fa capo un “server madre” che fino a questo momento è stato impossibile individuare.