Secondo Reuters hacker occidentali hanno usato un malware “Regin” descritto dagli esperti come il “gioiello” degli strumenti di cyber-spionaggio per hackerare la versione russa di Google, nel tentativo di violare gli account degli utenti.
Gli hacker hanno preso di mira #Yandex (#Яндекс), una società con sede a Mosca che opera come versione russa di Google. Yandex è la più grande società di venture technology della Federazione Russa e il quinto motore di ricerca più popolare al mondo. Fornisce inoltre servizi come la mappatura e l’email in Russia e in molti altri paesi dell’Asia centrale e del Medio Oriente. Afferma di servire oltre 150 milioni di utenti al mese in tutto il mondo.
Giovedì, la Reuters ha citato “quattro persone con conoscenze in materia […] in Russia e altrove”, che hanno affermato che Yandex è stato preso di mira da una sofisticata operazione di hacking tra ottobre e novembre 2018. L’agenzia ha riferito che tre delle sue fonti avevano conoscenza diretta dei dettagli dell’operazione di cyber-spionaggio contro Yandex. Secondo fonti anonime, gli hacker sembravano principalmente interessati a violare gli account di specifici dipendenti dell’unità di ricerca e sviluppo di Yandex. Il loro scopo era acquisire informazioni tecniche su come Yandex autentica gli account degli utenti. Tali informazioni potrebbero potenzialmente consentire loro di impersonare gli utenti Yandex e accedere a informazioni private, inclusi messaggi di posta elettronica, informazioni di geolocalizzazione e altri dati riservati riservati. Reuters ha affermato che gli hacker hanno tentato di violare Yandex a scopo di spionaggio, non di sabotaggio o interruzione, o di furto di proprietà intellettuale per scopi commerciali.
Inoltre, gli hacker utilizzavano #Regin, un malware altamente sofisticato che un esperto tecnico della Symantec Corporation descriveva come “il gioiello della corona delle strutture di attacco utilizzate per lo spionaggio“. Regin è stato identificato come un malware utilizzato dai servizi di intelligence della cosiddetta alleanza di intelligence Five Eyes tra agenzie di spionaggio del Regno Unito, Canada, Nuova Zelanda, Australia e Stati Uniti.
Nel 2014 è stato identificato come uno strumento di cyber-spionaggio occidentale, basato sulle rivelazioni fatte da Edward Snowden, l’ex dipendente americano della National Security Agency e della Central Intelligence Agency che ha disertato in Russia. Lo stesso malware è stato utilizzato nel 2013 per accedere a circa una dozzina di computer mainframe di Belgacom, il più grande fornitore di servizi di telecomunicazioni del Belgio, in parte di proprietà statale.
L’attacco è stato ampiamente attribuito a un consorzio di servizi di intelligence occidentali guidati dalla NSA.
Secondo Reuters, gli hacker sono stati in grado di penetrare nelle reti di Yandex per diverse settimane o più, senza essere notati dagli osservatori della sicurezza informatica della compagnia. Quando è stata rilevata la penetrazione, Yandex ha assunto una squadra di sicurezza informatica dalla società anti-virus russa Kaspersky.
Il team di Kaspersky ha identificato Regin e, secondo la Reuters, ha concluso che gli hacker dietro l’operazione di cyber-spionaggio erano legati alle agenzie di intelligence occidentali. Kaspersky, il governo russo e le agenzie di intelligence dell’alleanza Five Eyes hanno rifiutato le richieste di Reuters di commentare la storia. Yandex ha, tuttavia, confermato l’attacco di cyber-spionaggio in una dichiarazione a Reuters, ma ha detto che i suoi esperti di sicurezza informatica sono stati in grado di rilevare e “neutralizzarlo completamente prima che facesse qualsiasi danno”.