Si apre un nuovo capitolo nella vicenda dei “virus di stato”. Con un comunicato diffuso nella notte, gli esperti di sicurezza di Kaspersky hanno infatti svelato l’esistenza di un gruppo di hacker che rappresenterebbe la vera “punta di diamante” del cyber-spionaggio mondiale. Il gruppo, battezzato con il nome di Equation, sarebbe responsabile di numerose operazioni di spionaggio informatico e potrebbe essere attivo fin dal 1996. L’elenco delle oltre 500 vittime individuate finora comprende enti governativi e militari, istituti finanziari, aziende che operano nel settore delle telecomunicazioni, dell’energia, della ricerca nucleare, della nanotecnologia, ma anche alcuni media e gruppi islamici. Una vera operazione internazionale che coinvolge 30 paesi nel mondo (tra cui Iran, Russia, Siria, Afghanistan, Kazakistan, Belgio, Somalia, Hong Kong, Libia, Emirati Arabi Uniti, Iraq, Nigeria, Ecuador, Messico, Malesia, Stati Uniti, Sudan, Libano, Palestina, Francia, Germania, Singapore, Qatar, Pakistan, Yemen, Mali, Svizzera, Bangladesh, Sudafrica, Filippine, Regno Unito, India e Brasile).

Gli esperti: “Mai visto nulla di simile” – Le tecniche utilizzate dal gruppo Equation, secondo gli analisti, non hanno precedenti. Per portare a termine le loro operazioni gli hacker utilizzano un vero arsenale informatico, composto da software (trojan) diversi a seconda delle esigenze e da una rete di supporto composta da centinaia di server dislocati in mezzo mondo, Italia compresa. Il modus operandi prevede una prima fase di attacco che viene descritta come “esplorativa”: i computer vengono compromessi per valutare il livello di interesse dell’obiettivo.

Solo una volta che il pc infetto è stato classificato come “interessante”, il gruppo decide quale tipo di malware utilizzare per spiarlo. Da un punto di vista tecnico, gli strumenti messi a punto da Equation rappresentano lo stato dell’arte del cyber-spionaggio: il codice del trojan è protetto con un sistema crittografico e acquisisce il controllo dell’avvio di Windows per garantirsi un maggior livello di offuscamento ed evitare la rilevazione da parte degli antivirus. Non solo: in casi particolari, gli hacker di Equation hanno utilizzato una tecnica che permette di sostituire il firmware dell’hard disk (il software che permette il funzionamento dell’hard disk stesso, ndr) in modo che il trojan possa resistere anche alla formattazione dell’hard disk e alla reinstallazione del sistema operativo.

Uno stratagemma che rende il codice praticamente invisibile. “Per la maggior parte degli hard drive ci sono funzioni per scrivere il firmware dell’hardware” spiega Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky Lab, “ma non ci sono funzioni per rileggerlo. Questo ci impedisce di rilevare gli hard drive infettati dal malware”. I casi registrati finora riguardano solo computer equipaggiati con Windows. I dati in possesso di Kaspersky, ottenuti attraverso l’intercettazione delle comunicazioni tra i server utilizzati da Equation per spiarne l’attività, fanno pensare però all’esistenza di una versione per i sistemi Mac.

La stessa mano dietro tutti i virus – Se la tipologia degli obiettivi e le tecniche utilizzate fa immediatamente pensare all’azione di un team legato ai servizi segreti, l’ipotesi diventa ancora più solida sfogliando il report stilato dagli analisti che hanno studiato i software utilizzati da Equation. Secondo gli esperti, infatti, il codice del malware utilizzato è molto simile a quello di Regin, il super-virus individuato solo tre mesi fa e la cui creazione è stata immediatamente attribuita a “agenzie di intelligence occidentali”. Non solo: i software di spionaggio utilizzati dal gruppo negli scorsi anni sfruttano alcune vulnerabilità utilizzate successivamente per Stuxnet, il virus creato dai servizi statunitensi e israeliani nel 2010 per mettere ko gli impianti per l’arricchimento dell’uranio iraniani e poi sfuggito al controllo dei suoi autori. Se la mano non è la stessa, quindi, si tratta per lo meno di gruppi che collaborano tra loro.