Se i cyberspy sviluppati da “Equation Group” (pare facente capo alla NSA ed all’ “Unità 8200” dell’intelligence israeliana) sono in grado di restare occulti a qualsiasi antivirus perché si innestano nel registro, quelli di “Casper” lo sono perché interattivi: essi cioé interagiscono con qualsiasi antivirus, identificandoli ed adattandovisi ed operando con una sorta di partita a scacchi e, in caso di prossimità di una eventuale scoperta, autodistruggendosi totalmente. Anche “Casper” ha una struttura modulare con “Fantome”, modulo iniziale, dalle performances simili (escluso l’innesto sul registro) a quelle di “Doublefantasy” di “Equation Group”: registrare accuratamente il tipo di macchina, hardware e software, soprattutto lingua utilizzata, sistemi operativi ed antivirus, programmi in uso et similia. Il tutto è inviato ai committenti di modo che possano decidere se procedere o meno ad un attacco. In caso affermativo, anche qui si inseriscono uno o più moduli supplementari specificamente adatti agli scopi. Se i cyberspy’s di “Equation Group”, che resistono tanto alla riconfigurazione quanto alla stessa resettazione di un computer sono stati alla fine identificati in alcuni registri, per “Casper” la cosa è stata assai più difficile. Dai file e dai codici utilizzati da questo cyberspy, in diversi casi identici a quelli di “Babar” ed “Evil Bunny” si evince che artefice ne sia l’intelligence francese (la “DGSE”) ed esperti di tecnica di programmazione antivirus al servizio di questa. Se, ufficialmente la DGSE ovviamente si distanzia, un recente video delle forze armate francesi invece si vanta di capacità in rete del tutto assimilabili a quelle di “Casper”. Il malware e la sua affinità con “Babar” ed “Evil Bunny” sono stati inoltre deninciati da Joan Calvet noto esperto di informatica di sicurezza, secondo il quale esso sarebbe già stato usato con successo in Siria.
francesco latteri scholten