La scoperta di nuovi temibili malware ha infiammato una già caldissima estate, rendendo più chiaro il quadro generale della guerra in corso sul piano cibernetico e non solo, con particolare riguardo all’operazione di spionaggio e sabotaggio denominata “Olympic Games”.

I nuovi malware scoperti

In seguito alla scoperta del temibile worm Flame, avvenuta il 28 maggio 2012, ben quattro nuovi malware, tutti riconducibili alla guerra cibernetica in atto, sono stati scoperti fra il 12 giugno e il 16 agosto di quest’anno:

• Shamoon, un malware di cyber spionaggio e sabotaggio che ha infettato migliaia di sistemi del colosso petrolifero Saudi Aramco e, secondo fonti della CIA, anche la rete di Ras Laffan LNG, sottraendo informazioni, cancellando dati e rendendo infine inutilizzabili i sistemi colpiti.
• Mahdi, un trojan di cyber spionaggio in grado di sottrarre i dati dagli account e-mail, da servizi di instant messaging e da social network, agendo anche da keylogger e backdoor, che ha colpito diversi soggetti impegnati in progetti infrastrutturali critici, istituzioni finanziarie, università e agenzie governative soprattutto in Iran, Israele e Afghanistan.
• Gauss, worm di cyber spionaggio che apre una backdoor sui sistemi colpiti, sottrae informazioni sulla configurazione software e hardware, preleva la cronologia e i cookie dei browser, nonché le credenziali di accesso ai conti bancari online, colpendo prevalentemente in Libano.
• Wiper, worm di sabotaggio in grado di cancellare dati in maniera singolare, veloce e particolarmente efficiente grazie ad un sofisticato algoritmo proprietario, rendendo inutilizzabili i sistemi colpiti. È tuttora introvabile, sebbene se ne siano rilevate alcune tracce dai laboratori di sicurezza.

Gauss, Wiper e l’operazione Olympic Games

In base alle analisi svolte dai laboratori di sicurezza di Kaspersky e Seculert, i worm Gauss e Wiper apparterrebbero all’ormai famosa piattaforma di sviluppo “Tilded” che ha dato vita anche a Stuxnet, Duqu e Flame. Entrambi, infatti, hanno una struttura modulare talmente sofisticata da aver certamente richiesto un lungo studio e ingenti investimenti, oltre a sfruttare un’imponente struttura di Command&Control e il ricorso a vulnerabilità 0-day di difficile rilevazione e onerosa acquisizione, esattamente come avvenuto per i tre blasonati predecessori.

Il collegamento diretto con la piattaforma Tilded consente di attribuirne l’appartenenza all’ormai famosa operazione Olympic Games ideata e condotta dai servizi segreti di Stati Uniti e Israele per spiare e danneggiare l’Iran. Gauss è un worm di cyber spionaggio, molto probabilmente studiato per recuperare preziose informazioni funzionali all’intera operazione, mentre Wiper sembrerebbe studiato per cancellare rapidamente, efficacemente ed irrimediabilmente qualsiasi traccia di sé stesso e dei propri compagni d’azione per impedire il recupero dei compromettenti codici sorgenti, più che per agire come puro malware distruttivo. Prova ne sia che, secondo l’analisi di Kaspersky, Wiper indirizza la propria azione distruttiva in particolare verso i file PNF, ovvero i file utilizzati da Stuxnet e Duqu per ospitare il codice sorgente criptato, agendo come una specie di Wiston Wolf che risolve problemi.

Il quadro dell’operazione Olympic Games appare ora più chiaro ed è possibile ipotizzare che Duqu, Flame e Gauss siano stati ideati come agenti di spionaggio con l’obiettivo di recuperare informazioni strategiche, che Stuxnet fosse incaricato di danneggiare e sabotare gli impianti nucleari, infine che Wiper avesse il compito di cancellare qualsiasi traccia a fronte di sospette compromissioni.

Shamoon e Mahdi, agenti rozzi ma efficaci

Mentre l’operazione Olympic Games continua il proprio corso, ecco che cominciano ad apparire altri malware di contorno di provenienza tuttora incerta: Shamoon e Mahdi, sono contraddistinti entrambi da uno sviluppo abbozzato e poco raffinato, certamente meno sofisticato rispetto agli antagonisti di origine pseudo-governativa. Le modalità di diffusione, che sfruttano necessariamente l’interazione con l’utente invece di avvenire in completa autonomia, e la presenza di madornali errori nel codice sorgente fanno pensare all’opera di organizzazioni dilettanti, non governative e con scarsi mezzi, probabilmente gruppi isolati di attivisti con scopi di vandalismo e rappresaglia.

Sembra, infatti, che le scorribande di Shamoon siano state oggetto di rivendicazione da parte del gruppo di hacktivist “Cutting Sword of Justice” che ha dichiarato di voler vendicare il supporto da parte del feroce, sanguinario e repressivo governo saudita alle atrocità commesse dai governi occidentali in Siria, Bahrain, Yemen, Egitto e Libano. Sembrerebbe, inoltre, che il governo iraniano, da qualche tempo, si sia rivolto ad organizzazioni cyber criminali dell’est europeo per ottenere un aiuto fattivo nell’organizzare operazioni di controspionaggio e contrattacco verso i propri antagonisti cibernetici e, guarda caso, la rozza realizzazione di questi malware richiama alla mente quella dei famigerati messaggi di spam e phishing, notoriamente costellati di errori grammaticali e strutturali.

La rudimentale natura di questi due malware non ne ha però ostacolato l’efficacia, poiché entrambi sono stati comunque in grado di eludere i sistemi antivirus e causare ingenti danni e fughe di dati dalle malcapitate vittime. Shamoon sembrerebbe addirittura utilizzare parti del codice di Flame e forse anche del fantomatico Wiper, mentre l’efficacia della struttura di controllo ha consentito la metamorfosi di Mahdi che è tuttora attivo in una nuova veste e nuovamente in grado di eludere i sistemi antivirus proseguendo nella sua opera di cyber spionaggio. Stando alle più recenti informazioni, sembra che anche Shamoon continui imperterrito nella propria opera distruttiva.

Ettore Guarnaccia