C’era una volta un mondo in cui le spie dovevano cambiare identità, nascondersi in un paese straniero e, in qualche caso, rischiare la vita. Oggi è tutto molto più comodo. Si può tornare la sera a casa per cena e spiare in tutto il mondo: non con i metodi artigianali di James Bond, ma su scala industriale.

La riprova, qualora ce ne fosse stato bisogno, è arrivata dal comunicato della Symantec – una delle principali case di sicurezza informatica – che ha rivelato l’esistenza di Regin, lo spyware che ha preso il segreto possesso di un numero imprecisato di computer Windows, soprattutto in Russia e Arabia Saudita.

È almeno dal 2008 che Regin è in grado di vedere cosa viene scritto su quelle macchine, di registrare le sequenze dei tasti premuti e perfino di recuperare i documenti cancellati. Potrebbe essere la più grande operazione di spionaggio mai condotta in porto.

Le spie alla vecchia maniera però, non sono certo scomparse. Perché al momento, in pochi si possono permettere un giocattolo come Regin. «Lo sviluppo e la gestione di questo malware – si legge nel report di Symantec – hanno reso necessario un significativo investimento di tempo e di risorse, indicando che una nazione è responsabile». Non solo. Alla Symantec credono che «molte componenti di Regin debbano ancora essere scoperte e che possano esistere funzionalità» ancora sconosciute.

Questo vuol dire che Regin è stato sviluppato da un esercito di ingegneri informatici (è possibile che la parola “esercito” sia vera in tutti e due i sensi), che hanno lavorato anni per comporre un monumento matematico alla complessità: capace al tempo stesso di intrufolarsi nei computer desiderati (con una predilezione per società telefoniche, aziende dell’energia e alberghi); operare senza farsi vedere; trasmettere dati all’esterno su richiesta; rendere impossibile rintracciare il responsabile. In questa complessità però, sta il principale indizio sull’identità possibile dei suoi autori.

Tecnologia avanzata - Lo spyware Regin (così chiamato perché serve proprio a spiare) funziona su una serie di attacchi a cascata, su cinque livelli. Sono tutti criptati, fuorché il primo che decripta il secondo e poi si addormenta, lasciando che il secondo faccia altrettanto con il terzo e così via. In questo modo, rintracciare il virus è quasi impossibile. Tanto per dare un’idea, i computer, soprattutto quelli sensibili come quelli colpiti da Regin, vengono scansionati continuamente dai software antivirus, costantemente aggiornati, e anche controllati dagli ingegneri che li gestiscono. La Symantec ha scovato Regin quando ormai era in servizio da almeno sei anni. 

Come se non bastasse, l’azienda della sicurezza ha trovato «dozzine di payloads», ovvero i compiti che il malware deve svolgere: dal furto delle password all’analisi del traffico internet su una particolare macchina. Però si dà per scontato che ce ne siano altri, ancora da scoprire.

Non soltanto gli autori di Regin hanno certamente un imponente “centro di ascolto” – come dicevano le spie di una volta – dove immagazzinare e selezionare un oceano di dati. Ma sono così organizzati da sviluppare ulteriormente il malware, come farebbe abitualmente una software house. I primi attacchi di Regin sono avvenuti fra il 2008 e il 2011. Poi sono ricominciati nel 2013 con Regin 2.0, una nuova versione del software-spia, stavolta scritta in 64 bit, per tenere il passo dei tempi. E con quattro livelli invece di cinque.

Indovina chi è stato - Un simile livello di organizzazione, come dice Symantec, può solo venire da una nazione. E non una nazione qualunque. È arcinoto che, sotto il profilo militare, Stati Uniti, Cina, Russia e Israele sono in prima linea nello sviluppo di cyber-armamenti. 

La stessa Symantec dice che il sistema a livelli adottato da Regin «è simile a quello visto nella famiglia Duqu/Stuxnet». Stuxnet è (per ora) l’attacco digitale più efficace della storia: sviluppato per infettare il laboratorio iraniano di Natanz per l’arricchimento dell’uranio, poi prendere il controllo delle centrifughe e farle girare fino a danneggiarle. C’è riuscito. Il New York Times ha pubblicato le prove che, su Stuxnet, c’erano le firme di Stati Uniti e Israele.

Solo Cina e Russia hanno le capacità e gli uomini per fare una cosa del genere. È quindi verosimile che gli stessi quattro paesi siano in prima linea anche nel cyber-spionaggio.

Però c’è un fatto curioso. Regin, in tutta la sua sofisticatezza, un’impronta l’ha lasciata. La Symantec ha pubblicato anche la geografia dell’infezione digitale, rivelando che è concentrata in dieci paesi: Russia (28%), Arabia Saudita (24%), Messico (9%), Irlanda (9%) e poi India, Afghanistan, Iran, Belgio, Austria e Pakistan.
Il che porterebbe ad escludere la Russia dalla caccia al colpevole. Restano solo le prime due economie del mondo. Le quali, negli ultimi tre anni, non hanno mai smesso di accusarsi di cyber-spionaggio a vicenda.
E qui arriva la domanda finale, questa davvero senza risposta. Il fatto è curioso: come mai Regin non ha colpito né la Cina, né gli Stati Uniti?