Kaspersky scopre Dante, il malware usato dagli hacker governativi

Il Great, la divisione di Kaspersky Lab che studia i malware, ha annunciato in Thailandia durante il SAS (il loro evento per analisti ed esperti di settore) la scoperta di Dante, un malware usato in una serie di attacchi a editori, università e centri di ricerca russi. Nel suo discorso dedicato alla scoperta, Boris Larin, Principal Security Researcher at Kaspersky, ha messo l’accento sul fatto che in questa campagna si è sfruttata una grave vulnerabilità di Chrome (e molti altri browser basati sullo stesso motore) che permetteva di eseguire malware dopo un semplice clic su di un link apparentemente innocuo.

La campagna di attacchi era strutturata in maniera altamente professionale e attenta, con i link che restavano attivi poche ore per evitare di esser scoperti come mezzo per diffondere malware, identificando il gruppo attaccante come una probabile entità governativa, ma la cosa più interessante del report arriva quando si vede cosa succede dopo il clic sul link malevolo. Larin, infatti, ha proseguito dicendo che il malware che veniva scaricato risultava sconosciuto, di elevato livello tecnico e super protetto contro le analisi. Nonostante le precauzioni, però, i ricercatori sono riusciti a guardare nel codice e hanno scoperto che Dante è un vicino parente di Remote Control System: il malware prodotto da Hacking Team usatissimo dai governi di tutto il mondo fino al 2015, data in cui l’azienda subì una distruttiva fuga di notizie a seguito di una violazione informatica. Dante, quindi, è con tutta probabilità il successore di Remote Control System, prodotto da Memento Labs, l’azienda che ha comprato Hacking Team nel 2019 e ne ha continuato il percorso. Secondo quanto dichiarato dal proprietario di Memento Labs, il progetto prevedeva di ripartire da zero e creare un nuovo malware. Nel 2023, ben quattro anni dopo, in una conferenza privata negli Emirati, lo stesso annunciava lo sviluppo di un malware chiamato Dante, senza però che trapelassero maggiori informazioni. Seguendo queste deboli tracce, il Great di Kaspersky è andato a scavare nel loro archivio di malware e attacchi e ha trovato molte informazioni preziose. RCS, il malware scritto da Hacking Team, fu usato ancora a lungo, almeno fino al 2022. Da quale momento in poi, però, il suo posto è stato preso da Dante, un malware completamente nuovo, sì, ma che sfruttava alcuni piccoli pezzi di codice già scritto per RCS. “Analizzando il codice d Dante” – dice Larin – “abbiamo notato la stessa ‘mano’ e lo stesso stile usati in RCS, segno molto forte di una continuità per quello che riguarda la gente che ha creato il nuovo prodotto”.

Speriamo che, stavolta, le procedure di controllo su come venga usato siano più rigorose rispetto a quanto ha costretto Hacking Team alla chiusura.