Symantec ha tolto il velo a Sauron, una campagna di spyware che sembra essere indirizzata prevalentemente a utenti governativi piuttosto che a consumatori finali e aziende. L’agenzia di sicurezza informatica ha infatti spiegato come lo spyware sia stato già utilizzato per monitorare le attività di obiettivi in Belgio, Cina, Russia e Svezia, con l’interesse di accrescere le conoscenze dei conducenti verso le misure di intelligence degli stati presi di mira. Il gruppo che starebbe manipolando Sauron è conosciuto come Strider, un nome già sentito prima, dietro al quale potrebbero nascondersi ex membri di Flamer, che usa malware simili e tecniche di attacco riconducibili a quelle scoperte negli ultimi giorni.
Cosa accade adesso
Spulciando nel dettaglio le informazioni rilasciate da Symantec, scopriamo che la campagna Sauron (chiamata così per il riferimento trovato nel codice di sviluppo di uno dei suoi tool “Remsec”, un omaggio al principale antagonista de Il Signore degli Anelli di Tolkien) ha colpito profili di alto interesse strategico, come militari, telco e centri di ricerca scientifica. Sembra chiaro che il tutto sia partito dalla volontà di un singolo stato, anche se ad oggi non esistono evidenze sulla fonte dell’attacco e sarebbe quanto mai rischioso sbilanciarsi senza prove certe. Grazie ad altri approfondimenti di Kaspersky, sappiamo che il gruppo Strider è in giro dall’ottobre del 2011, anche se finora pare aver mantenuto un basso profilo, senza mai porsi all’attenzione degli esperti di sicurezza. Gli hacker però si stanno dando da fare, sfruttando le potenzialità di una minaccia che è complicata da individuare e debellare, perché opera quasi esclusivamente attraverso la rete, mantenendosi solo sulla memoria del computer e non sul disco. Symantec ha pubblicato il documento Backdoor.Remsec: Indicators of Compromise che contiene ulteriori dettagli sulla vicenda.
