Crisis, il malware scoperto da Intego ad inizio settimana e di cui abbiamo dato notizia lo scorso martedì, potrebbe essere derivato da un software di spionaggio sviluppato da Hacking Team, una società italiana specializzata nel settore che vende strumenti specializzati ad agenzie governative impegnate in operazioni di sicurezza. A dirlo è Intego che sostiene di avere scoperto che almeno una parte del codice apparterrebbe a RCS Da Vinci, un pacchetto commerciale che Hacking Team propone sul mercato.
In effetti il “virus” individuato da Intego sembra rispondere a caratteristiche tipiche di spionaggio: si nasconde dentro al Mac, attacca Skype, Audium, Firefox, Safari e Messenger e registra le comunicazioni che passano da queste applicazioni. Le funzioni di cui è capace sono impressionanti: acquisisce audio, stringhe di testo digitate nelle chat, indirizzi Internet e cattura schermate dai browser. In più registra audio dal microfono e video dalla iSight, legge i contatti e tutti i testi digitati. È in grado anche di nascondersi accuratamente, modificando Monitoraggio Attività dove non appare nella lista delle applicazioni attive.
RCS Da Vinci, però, è stato venduto solo a realtà governative e a qualche istituzione bancaria. In aggiunta a questo l’azienda milanese ha strettissime politiche di sicurezza interna. Come spiegato al Sidney Morning Herald qualche tempo fa, vengono seguiti accuratissime indagini sui curriculum delle persone assunte e praticamente sempre quando qualcuno viene assunto è perchè è conosciuto da qualcun altro che già lavora nell’azienda; nessun individuo che ha avuto qualunque problema con la giustizia può trovare un lavoro in Hacking Team, in più un pool di avvocati fa da consulente per decidere a chi vendere i servizi e il software e a priori sono esclusi rappresentanti diretti o indiretti di paesi sottoposti ad embargo internazionale. Per altro dato il costo (200mila euro di canone all’anno) è anche assai improbabile che qualche ragazzino in vena di prodezze informatiche abbia comprato e reimpacchettato e distribuito il software di Hacking Team.
Chi ha creato Crisis e soprattutto perchè, visto che anche per la sola gestione della gigantesca mole delle informazioni che miete dai PC si dovebbe avere un esercito di esperti, resta un mistero. Quel che sembra certo è che siamo di fronte ad un malware a target destinato a colpire qualche società per la quale chi ha sviluppato Crisis aveva uno specifico interesse e che per qualche ragione è finito su VirusTotal, un servizio che aiuta a rilevare le minacce informatiche. Il rischio che si pone, però, è che qualche pirata si possa impossessare del codice e crearne delle varianti più sofisticate e pericolose.
Allo stato attuale delle cose, in ogni caso, Crisis non colpisce a tradimento, non sfrutta una vulnerabilità del sistema ma i classici stratagemmi (tecniche di social engineering) visti altre volte per convincere l’utente ad avviare un applet Java. Se l’utente conferma la richiesta di accesso dell’applet, dopo l’installazione il malware si nasconde procedendo per i suoi compiti.
Attacchi con applet Java sono un classico delle infezioni che hanno come target sistemi multi-piattaforma. Java, ad ogni modo, non è più installato di serie con OS X 10.7.x Lion e OS X 10.8 Mountain Lion. Altro meccanismo per la diffusione di questi malware è la distribuzione di pacchetti fatti passare come codec per la visualizzazione di video, Flash player, giochi e quant’altro possa stuzzicare la curiosità del destinatario, invogliandolo ad aprire ed eseguire il software.
Come non ci stancheremo mai di ripetere, OS X è un sistema operativo robusto e affidabile, dotato di serie di svariati meccanismi di protezione che consentono di navigare sul web con estrema tranquillità, al sicuro da virus e malware. Apple ha integrato meccanismi di difesa a più livelli contro i virus e altre applicazioni pericolose o malware. Tutte queste tecniche non servono però a nulla senza un minimo di acume e sono vane se l’utente installa qualunque cosa proveniente dal web indicando nome utente e password d’amministratore a qualunque applicazione che lo richieda.
