I ricercatori non sono in grado di stabilire quante persone siano state attaccate, ma l’uso di un malware nuovo e personalizzato suggerisce che non si sia trattato di una semplice prova. “È molto improbabile che abbiano fatto tutto questo sforzo per poi non mandarlo a nessuno“, commenta Kimhy.
Secondo il ricercatore è poco plausibile che gli aggressori abbiano messo nel mirino persone all’interno dell’Iran durante lo stop di internet. Ma se la maggior parte degli obiettivi si trovava al di fuori del paese – giornalisti, analisti o attivisti della diaspora – compromettere i loro account potrebbe aver messo a repentaglio le fonti locali che forniscono loro informazioni.
Un’operazione sofisticata ma affrettata
L’analisi di Acronis rivela un mix di pianificazione accurata e di errori evidenti nel codice del malware. Il programma ha un sistema di comando e controllo flessibile, può eseguire diversi comandi ed è progettato per mostrare l’immagine prevista a infezione avvenuta. Alcune delle sue funzioni sembrano però incompiute o configurate in modo errato.
Subhajeet Singha, un altro ricercatore di Acronis, spiega che ci sono due elementi che spiccano in particolare. Il primo è una stringa user agent, l’identificatore che normalmente viene inviato da un browser e che in questo caso è stato chiaramente progettato per far sì che il traffico in uscita del malware si confondesse con la normale navigazione web. Ma nella pratica la stringa faceva il contrario, rendendo il traffico più evidente agli analisti. “Sembra un errore“, dice Kimhy. “Forse l’hanno copiato e non hanno fatto attenzione”.
Il secondo problema risiede nel sistema di comando. Il malware definisce più endpoint, percorsi pensati per ricevere diversi tipi di dati (come /info), che nella maggior parte dei casi però non sono mai stati utilizzati. “Sembra che abbiano preparato tutta infrastruttura e poi si siano detti: ‘Ok, non abbiamo tempo, non la finiremo’“, commenta Kimhy.
Alcuni comandi inoltre “sembrano non funzionare“, accettando l’input senza poi eseguire azioni significative. Sia Kimhy che Singha ammettono che il team potrebbe non aver trovato il modo giusto per farli funzionare; ma questi segnali, sottolineano, indicano che gli aggressori erano sì abili ma hanno lavorato di fretta, probabilmente per rispettare una scadenza.
