Dal governo tedesco un Trojan per spiare i cittadini?

Un gruppo di hacker tedesco accusa il governo tedesco di aver rilasciato un backdoor Trojan: si tratta di un keylogger capace di prendere screenshot e regisrtare audio. Una vera e propria applicazione capace quindi di fornire informazioni a chi, per un motivo o per un altro, volesse collezionarle. L'annuncio della scoperta è stato poi pubblicato a questo indirizzo, con un PDF di 20 pagine, rigorosamente in lingua tedesa. A parlarne e dare conferma diretta è Mikko Hypponen di F-Secure, a questo indirizzo.

Il gruppo di hacker, conosciuto con il nome di Chaos Computer Club (CCC), si è occupato dell'analisi del programma e la descrizione che viene fornita in questo post scritto in lingua inglese è piuttosto chiara ed esaustiva.

"It has been found in the wild and submitted to the CCC anonymously. The malware can not only siphon away intimate data but also offers a remote control or backdoor functionality for uploading and executing arbitrary other programs. Significant design and implementation flaws make all of the functionality available to anyone on the internet. [...] The trojan can, for example, receive uploads of arbitrary programs from the Internet and execute them remotely. This means, an “upgrade path” from Quellen-TKÜ to the full Bundestrojaner’s functionality is built-in right from the start. Activation of the computer’s hardware like microphone or camera can be used for room surveillance."

Le capacità del malware sono quindi importanti e permettono, a chi controlla tale applicazione, di avere pieno controllo del sistema infettato. L'accusa portata avanti dal gruppo di hacker è diretta al governo tedesco che, secondo quanto riportato nel post, avrebbe sviluppato tale programma per poter cotrollare gli utenti.

Il nome del Trojan, W32/R2D2A, viene dalla stringa di codice usata per iniziare la trasmissione di file

F-Secure, azienda piuttosto nota quando di parla di sicurezza informatica, prende ovviamente le distanze dalle affermazioni del CCC in merito ai responsabili della distribuzione del malware, ma conferma le potenzialità della applicazione. L'analisi di F-Secure, distribuita a questo indirizzo, conferma che il malware ha come target applicazioni quali Firefox, Skype, MSN e ICQ oltre ad altre. Il backdoor, inoltre, contiene anche codice che potrebbe permettere di prendere screenshot e registrare audio: inoltre questa applicazione supporta anche aggiornamenti, che vengono distribuiti attraverso i server con indirizzi 83.236.140.90 e 207.158.22.134.

Non è la prima volta che un governo venga accusato di spionaggio attraverso un malware diffuso online: nel corso degli anni, infatti, il governo Cinese è stato accusato più volte per la sua presunta operazione Aurora, mentre i rapporti di Microsoft con l'ente nazionale per la sicurezza degli Stati Uniti sono sempre stati molto discussi.