Regin (malware)

Regin

Informace
Operační systém Microsoft Windows
Typ Rootkit malware

Regin je sofistikovaný malware objevený společnostmi Kaspersky Lab a Symantec , který byl odhalen vlistopadu 2014. Aktivní nejméně od roku 2008 se říká, že se používá jako platforma kybernetické špionáže proti soukromým a veřejným organizacím.

Podle The Intercept byl tento malware na základě informací poskytnutých zejména Edwardem Snowdenem vytvořen Národní bezpečnostní agenturou (NSA) a jejím britským protějškem, Vládním komunikačním ústředím (GCHQ), a byl používán ke špehování evropských institucí a telekomunikační společnost Belgacom .

Historický

The 23. listopadu 2014Společnost Symantec odhalila existenci společnosti Regin, kterou poprvé identifikovala na podzim roku 2013. To naznačuje, že platforma byla poprvé použita v letech 2008 až 2011, kdy byl software vydán. Náhle zmizel. Druhá verze, stále aktivní, se znovu objevila v roce 2013.

The 24. listopadu 2014, společnost Kasperky také zveřejnila bílou knihu o Reginu s uvedením, že ji poprvé identifikovala na jaře 2012. Uvádí, že některé součásti Reginu pocházejí z roku 2003.

Intercept , americký digitální časopis založený novinářem Glennem Greenwaldem , také zveřejnil dlouhé vyšetřování24. listopadu 2014na malwaru Regin .

The 22. ledna 2015Společnost Kasperky publikuje analýzu dvou modulů společnosti Regin  : „Legspin“, zadní vrátka, která mohla pocházet z roku 2002, a „Hopscotch“, nový nástroj používaný k šíření v cílených počítačových sítích.

Funkce

Společnost Kaspersky popisuje Regin jako vyhrazenou platformu pro kybernetickou špionáž, kterou útočníci nasazují do počítačové sítě, aby získali plnou kontrolu.

Jeho hlavní rolí by bylo shromažďovat data, mohlo by také převzít kontrolu nad cílovými počítači, pořizovat snímky obrazovky a krást hesla.

Architektura

Symantec a Kaspersky popisují platformu společnosti Regin jako extrémně modulární, což útočníkům poskytuje velkou flexibilitu, protože mohou načítat vlastní funkce přizpůsobené cílům každé operace.

Jeho modulární vlastnosti by zkomplikovaly jeho detekci a byly by podobné ostatním malwarům, jako jsou Flamer nebo Weevil . Jeho architektura se říká podobná architektuře Stuxnet , počítačového červa objeveného v roce 2010 a navrženého NSA ve spolupráci s izraelskou vojenskou zpravodajskou jednotkou 8200 (AMAN) k útoku na íránské centrifugy na obohacování uranu.

Společnost Symantec zdůrazňuje, že „jde o program na úrovni složitosti, kterého se dosahuje jen zřídka“ .

Regin je malware navržený s charakteristikou utajení , aby měl omezený nebo banální podpis a bylo tak obtížné jej detekovat, klasifikovat nebo identifikovat:

Komponenty odhalené společnostmi Kaspersky a Symantec naznačují, že se společnost Regin zaměřuje na uživatele systému Windows .

Infekční vektory

Společnost Symantec uvádí, že vektor infekce se u jednotlivých cílů liší, a předpokládá, že byly infikovány návštěvou falešných webových stránek. Malware by byl nainstalován prostřednictvím webového prohlížeče nebo využitím zranitelnosti zranitelných aplikací.

Podobně Kaspersky určuje konec listopadu 2014že vektor infekce zůstává záhadou, a zároveň předpokládat, že by se útočníci uchýlili k útokům typu „  člověk ve středu  “ s využitím zranitelnosti 0 dní , tj. zranitelnosti počítače, která nebyla zveřejněna nebo nemá k dispozici žádnou opravu .

Profily cílů

Organizace

Společnost Symantec tvrdí, že provozovatelé společnosti Regin nejeví zájem o konkrétní odvětví, infekce byly pozorovány v široké škále organizací, včetně soukromých společností, vládních subjektů nebo výzkumných ústavů.

Společnost Kaspersky naznačuje, že organizacemi identifikovanými jako oběti Reginu jsou telekomunikační operátoři , vládní organizace, nadnárodní politické orgány, finanční instituce, výzkumné organizace a jednotlivci zabývající se výzkumem a vývojem v matematice nebo pokročilé kryptologii . Kaspersky tedy naznačuje, že belgický kryptograf Jean-Jacques Quisquater by se v roce 2013 stal obětí Regina .

Jeden z modulů společnosti Regin je jasně zaměřen na telekomunikační operátory, protože konkrétně umožňuje špehovat to, co dělají správci IT v mobilních sítích.

Podle The Intercept je malware zdrojem počítačových útoků proti Belgacomu .

The 26. listopadudeník Le Monde uvádí, že podle „zdroje blízkého spisu, který si přeje zůstat v anonymitě [...] byl Regin nalezen v sítích několika evropských institucí“ .

The 28. listopadu, rakouský deník Der Standard naznačuje, že podle několika anonymních zdrojů byl malware Regin objeven také v počítačových systémech Vídeňské mezinárodní agentury pro atomovou energii (IAEA). Noviny připomínají, že NSA tuto mezinárodní agenturu špehovala, jak odhalil Der Spiegel v rocesrpen 2013na základě zjevení Edwarda Snowdena .

The 28. prosince 2014, německý deník Bild odhaluje, že Regin byl objeven na USB klíči blízké spolupracovnice kancléřky Angely Merkelové . Počítačové bezpečnostní služby kancléřství zjistily Regina , když tato zaměstnankyně, která dokončila psaní projevu o Evropě u ní doma a uložila dokument na USB flash disk, po návratu do kanceláře přenesla svůj dokument na svého počítačového profesionála.

Země

Společnost Symantec uvádí, že společnost Regin identifikovala zejména v Rusku a Saúdské Arábii , ale také v Mexiku , Irsku , Indii , Afghánistánu , Íránu , Belgii , Rakousku a Pákistánu .

Společnost Kaspersky naznačuje, že identifikovala dvacet sedm organizací obětí ve čtrnácti zemích: Afghánistán, Alžírsko , Německo , Belgie, Brazílie , Fidži , Indie, Indonésie , Írán, Kiribati , Malajsie , Pákistán, Rusko a Sýrie .

Uvedení zdroje

Státní operace

Podle odborníka ze společnosti Symantec je Regin nepochybně s ohledem na jeho vlastnosti (doba provozu, motivace, finanční prostředky nezbytné pro rozvoj a nasazení infrastruktury) program podporovaný státem. Vyžadovalo by to tedy tým „nejméně čtyř specialistů, kteří na jeho vývoji pracovali přibližně rok“ . Podle tohoto experta by tato operace stála „několik stovek tisíc dolarů, aniž by se zaměřovala na potenciálně lukrativní cíle, jako jsou finanční instituce“ . Ve své první zveřejněné zprávě však společnost Symantec neurčuje stát odpovědný za vývoj Reginu .

Společnost Kasperky Lab nepřiděluje ani odpovědnost společnosti Regin , ale specifikuje, že tuto operaci pravděpodobně ponese stát kvůli její složitosti a nákladům.

Společnost G Data Software , která odhalila analýzu části kódu od společnosti Regin the23. října 2014během konference Hack.lu potvrzuje původ tohoto škodlivého programu .

Společnost F-Secure uzavře svou analýzu uvedením, že Regin nepochází z Ruska ani z Číny .

Silné podezření ohledně zapojení GCHQ a NSA

Intercept odhalil, že malware Regin byl součástí desetiletí trvající společné operace mezi Národní bezpečnostní agenturou a jejím britským protějškem, Vládním komunikačním ústředím (GCHQ). Zpráva o analýze Intercept je částečně založena na informacích od Edwarda Snowdena . Intercept připomíná, že malware GCHQ dal britským špionům příležitost sbírat data od společnosti Belgacom , společnosti, která poskytovala telekomunikační služby několika evropským institucím:

Odborník z nizozemské bezpečnostní společnosti Fox-IT, která v roce 2013 pomohla společnosti Belgacom vymýtit malware ze své sítě, uvedl, že je „přesvědčen“, že Regin byl vytvořen NSA nebo GCHQ. Na druhou stranu, tato společnost navrhuje, aby jednotlivé složky Regin představila aktuální odpovídat produktů jmenovaných UNITEDRAKE a STRAIGHTBIZARRE v katalogu (NSA katalogu NSA ANT  (en) ), existence a obsahu, které byly zpřístupněny jejich noviny Der Spiegel29. prosince 2013.

Ochrana

Společnost Kaspersky uvádí, že její produkty detekují moduly platformy Regin pod názvy „Trojan.Win32.Regin.gen“ a „Rootkit.Win32.Regin“. Regin je produkty Symantec a Norton AntiVirus detekován jako „Backdoor.Regin“.

Reference

  1. Martin Untersinger , „  virus„ Regin “, zbraň„ hromadného sledování “vyvinutá státem  , Le Monde ,24. listopadu 2014( číst online )
  2. Gilbert Kallenborn a AFP, „  Regin, nenápadný spyware, který špehuje všechno  “, 01net ,24. listopadu 2014( číst online )
  3. Marc Zaffagni, „  Regin, právě byl objeven impozantní spyware  “ , Futura High-Tech , na Futura-Sciences ,24. listopadu 2014(zpřístupněno 5. prosince 2014 ) .
  4. (en) Morgan Marquis-Boire , Claudio Guarnieri a Ryan Gallagher , „  Secret Malware in European Union Attack Linked to USA and British Intelligence  “ , The Intercept ,24. listopadu 2014( číst online )
  5. Eric LB , „  Regin, super malware NSA a GCHQ  , který sledoval Evropskou unii “, 01net ,2. října 2014( číst online )
  6. (en) "  Regin zpráva : nejvyšší úrovně špionážní nástroj umožňuje nenápadný dohled v1.0  " [PDF] , Symantec,23. listopadu 2014
  7. (en) „  Report The Regin Platform Nation-state ownage of GSM Networks v1.0  “ [PDF] , Kaspersky Lab,24. listopadu 2014
  8. (in) „  Analýza společnosti Regin's Hopscotch and Legspin  “ , Kaspersky Lab,22. ledna 2015
  9. (in) „  Analytici podrobně sledují nástroj Reginův škodlivý modul  “ SC Magazine,23. ledna 2015
  10. Sebastian Seibt, „  Economy - Discovery of Regin, spyware to do everything  “ , Francie 24 ,24. listopadu 2014(zpřístupněno 25. listopadu 2014 )
  11. Marc Rees, „  Regin, modulární malware specializující se na sběr dat  “, Next INpact ,24. listopadu 2014( číst online )
  12. (in) David E. Sanger , „  Obama objednal vlnu kybernetických útoků proti Íránu  “ , New York Times ,1 st 06. 2012( číst online )
  13. (in) James Bamford , „  NSA Snooping byl teprve začátek. Seznamte se s šéfem špionů, který nás vede do kybernetické války  “ , Wired ,6. prosince 2013( číst online )
  14. (in) Jon Fingas, „  Sofistikovaný malware špehuje počítače od roku 2008 (aktualizováno)  “ , Engadget ,24. listopadu 2014( číst online )
  15. (nl) „  Amerikanen hacken nu ook Belgische prof  “ , Het Nieuwsblad ,1 st 02. 2014( číst online )
  16. (nl) „  NSA hackt Belgische cyberprof  “ , De Standaard ,1 st 02. 2014( číst online )
  17. „  Belgický šifrovací génius, kterého NSA špehoval  “, Le Vif / L'Express ,1 st 02. 2014( číst online )
  18. (in) „  Reginujte škodlivou platformu schopnou špehovat v sítích GSM  “ , Kaspersky Lab ,2. října 2014(zpřístupněno 25. listopadu 2014 )
  19. EB, „  Spyware, který napadl společnost Belgacom, byl identifikován  “, Le Soir ,24. listopadu 2014( číst online )
  20. Martin Untersinger , „  Vytvořili angličtí a američtí špióni virus Regin?“  ", Le Monde ,26. listopadu 2014( číst online )
  21. (od) Fabian Schmid a Markus Sulzbacher , „  Spionagesoftware“ Regin „nahm Atomenergiebehörde ins Visier  “ , Der Standard ,28. listopadu 2014( číst online )
  22. (in) "  Codename 'Apalachee': Codename 'Apalachee': Jak Amerika špehuje Evropu a OSN  " ,25. srpna 2013
  23. Damien Leloup, „  NSA také špehovala OSN  “ ,25. srpna 2013
  24. (de) „  Spionage-Virus im Kanzleramt! Es startedn mit einem USB-Stick ...  ” , Bild,28. prosince 2014
  25. „  Německý kancléř napaden americkým počítačovým virem  “ , RTS.ch,28. prosince 2014
  26. (in) Ellen Nakashima , „  Nalezen nový spyware Regin, pravděpodobně vytvořen vládou  “ , The Washington Post ,24. listopadu 2014( číst online )
  27. Marc Rees , „  Regin, modulární malware specializující se na sběr dat  “, Next INpact ,24. listopadu 2014( číst online )
  28. (in) Prezentace výzkumu a vývoje malwaru s exotickou společností C&C G Data Sowftare , konference Hack.lu Paul Rascagneres a Eric Leblond, 23. října 2014 [PDF]
  29. (in) The Regin Espionage Toolkit , F-Secure , 23. listopadu 2014
  30. (in) Nicole Perlroth , „  Symantec objevuje„ reginující “špionážní kód číhající na počítačové sítě  “ , The New York Times ,24. listopadu 2014( číst online )
  31. (in) „  Belgacom Attack: British's GCHQ Hacked Belgian Telecoms Firm  “ , Der Spiegel ,20. září 2013
  32. (in) „  Cyber ​​Attack: Belgians Angered by British Spying  “ , Der Spiegel ,20. září 2013
  33. Reuters, „  Velká Británie špehovala belgickou společnost Belgacom  “ , Les Échos ,20. září 2013
  34. (de) Christian Stöcker a Marcel Rosenbach , „  Trojaner Regin ist ein Werkzeug von NSA und GCHQ - SPIEGEL ONLINE  “ , Der Spiegel ,25. listopadu 2014( číst online )
  35. (in) Kim Zetter , „  Researchers Uncover Government Spy Tool used to hack Telecoms and Belgian Cryptographer  “ , Wired Magazine ,24. listopadu 2014( číst online )
  36. (in) Jacob Appelbaum , Judith Horchert a Christian Stöcker , „  Katalog odhaluje, že NSA má zadní dveře pro řadu zařízení - SPIEGEL ONLINE  “ , Der Spiegel ,29. prosince 2013( číst online )

Dodatky

Související články

externí odkazy