Operační systém | Microsoft Windows |
---|---|
Typ |
Rootkit malware |
Regin je sofistikovaný malware objevený společnostmi Kaspersky Lab a Symantec , který byl odhalen vlistopadu 2014. Aktivní nejméně od roku 2008 se říká, že se používá jako platforma kybernetické špionáže proti soukromým a veřejným organizacím.
Podle The Intercept byl tento malware na základě informací poskytnutých zejména Edwardem Snowdenem vytvořen Národní bezpečnostní agenturou (NSA) a jejím britským protějškem, Vládním komunikačním ústředím (GCHQ), a byl používán ke špehování evropských institucí a telekomunikační společnost Belgacom .
The 23. listopadu 2014Společnost Symantec odhalila existenci společnosti Regin, kterou poprvé identifikovala na podzim roku 2013. To naznačuje, že platforma byla poprvé použita v letech 2008 až 2011, kdy byl software vydán. Náhle zmizel. Druhá verze, stále aktivní, se znovu objevila v roce 2013.
The 24. listopadu 2014, společnost Kasperky také zveřejnila bílou knihu o Reginu s uvedením, že ji poprvé identifikovala na jaře 2012. Uvádí, že některé součásti Reginu pocházejí z roku 2003.
Intercept , americký digitální časopis založený novinářem Glennem Greenwaldem , také zveřejnil dlouhé vyšetřování24. listopadu 2014na malwaru Regin .
The 22. ledna 2015Společnost Kasperky publikuje analýzu dvou modulů společnosti Regin : „Legspin“, zadní vrátka, která mohla pocházet z roku 2002, a „Hopscotch“, nový nástroj používaný k šíření v cílených počítačových sítích.
Společnost Kaspersky popisuje Regin jako vyhrazenou platformu pro kybernetickou špionáž, kterou útočníci nasazují do počítačové sítě, aby získali plnou kontrolu.
Jeho hlavní rolí by bylo shromažďovat data, mohlo by také převzít kontrolu nad cílovými počítači, pořizovat snímky obrazovky a krást hesla.
Symantec a Kaspersky popisují platformu společnosti Regin jako extrémně modulární, což útočníkům poskytuje velkou flexibilitu, protože mohou načítat vlastní funkce přizpůsobené cílům každé operace.
Jeho modulární vlastnosti by zkomplikovaly jeho detekci a byly by podobné ostatním malwarům, jako jsou Flamer nebo Weevil . Jeho architektura se říká podobná architektuře Stuxnet , počítačového červa objeveného v roce 2010 a navrženého NSA ve spolupráci s izraelskou vojenskou zpravodajskou jednotkou 8200 (AMAN) k útoku na íránské centrifugy na obohacování uranu.
Společnost Symantec zdůrazňuje, že „jde o program na úrovni složitosti, kterého se dosahuje jen zřídka“ .
Regin je malware navržený s charakteristikou utajení , aby měl omezený nebo banální podpis a bylo tak obtížné jej detekovat, klasifikovat nebo identifikovat:
Komponenty odhalené společnostmi Kaspersky a Symantec naznačují, že se společnost Regin zaměřuje na uživatele systému Windows .
Společnost Symantec uvádí, že vektor infekce se u jednotlivých cílů liší, a předpokládá, že byly infikovány návštěvou falešných webových stránek. Malware by byl nainstalován prostřednictvím webového prohlížeče nebo využitím zranitelnosti zranitelných aplikací.
Podobně Kaspersky určuje konec listopadu 2014že vektor infekce zůstává záhadou, a zároveň předpokládat, že by se útočníci uchýlili k útokům typu „ člověk ve středu “ s využitím zranitelnosti 0 dní , tj. zranitelnosti počítače, která nebyla zveřejněna nebo nemá k dispozici žádnou opravu .
Společnost Symantec tvrdí, že provozovatelé společnosti Regin nejeví zájem o konkrétní odvětví, infekce byly pozorovány v široké škále organizací, včetně soukromých společností, vládních subjektů nebo výzkumných ústavů.
Společnost Kaspersky naznačuje, že organizacemi identifikovanými jako oběti Reginu jsou telekomunikační operátoři , vládní organizace, nadnárodní politické orgány, finanční instituce, výzkumné organizace a jednotlivci zabývající se výzkumem a vývojem v matematice nebo pokročilé kryptologii . Kaspersky tedy naznačuje, že belgický kryptograf Jean-Jacques Quisquater by se v roce 2013 stal obětí Regina .
Jeden z modulů společnosti Regin je jasně zaměřen na telekomunikační operátory, protože konkrétně umožňuje špehovat to, co dělají správci IT v mobilních sítích.
Podle The Intercept je malware zdrojem počítačových útoků proti Belgacomu .
The 26. listopadudeník Le Monde uvádí, že podle „zdroje blízkého spisu, který si přeje zůstat v anonymitě [...] byl Regin nalezen v sítích několika evropských institucí“ .
The 28. listopadu, rakouský deník Der Standard naznačuje, že podle několika anonymních zdrojů byl malware Regin objeven také v počítačových systémech Vídeňské mezinárodní agentury pro atomovou energii (IAEA). Noviny připomínají, že NSA tuto mezinárodní agenturu špehovala, jak odhalil Der Spiegel v rocesrpen 2013na základě zjevení Edwarda Snowdena .
The 28. prosince 2014, německý deník Bild odhaluje, že Regin byl objeven na USB klíči blízké spolupracovnice kancléřky Angely Merkelové . Počítačové bezpečnostní služby kancléřství zjistily Regina , když tato zaměstnankyně, která dokončila psaní projevu o Evropě u ní doma a uložila dokument na USB flash disk, po návratu do kanceláře přenesla svůj dokument na svého počítačového profesionála.
Společnost Symantec uvádí, že společnost Regin identifikovala zejména v Rusku a Saúdské Arábii , ale také v Mexiku , Irsku , Indii , Afghánistánu , Íránu , Belgii , Rakousku a Pákistánu .
Společnost Kaspersky naznačuje, že identifikovala dvacet sedm organizací obětí ve čtrnácti zemích: Afghánistán, Alžírsko , Německo , Belgie, Brazílie , Fidži , Indie, Indonésie , Írán, Kiribati , Malajsie , Pákistán, Rusko a Sýrie .
Podle odborníka ze společnosti Symantec je Regin nepochybně s ohledem na jeho vlastnosti (doba provozu, motivace, finanční prostředky nezbytné pro rozvoj a nasazení infrastruktury) program podporovaný státem. Vyžadovalo by to tedy tým „nejméně čtyř specialistů, kteří na jeho vývoji pracovali přibližně rok“ . Podle tohoto experta by tato operace stála „několik stovek tisíc dolarů, aniž by se zaměřovala na potenciálně lukrativní cíle, jako jsou finanční instituce“ . Ve své první zveřejněné zprávě však společnost Symantec neurčuje stát odpovědný za vývoj Reginu .
Společnost Kasperky Lab nepřiděluje ani odpovědnost společnosti Regin , ale specifikuje, že tuto operaci pravděpodobně ponese stát kvůli její složitosti a nákladům.
Společnost G Data Software , která odhalila analýzu části kódu od společnosti Regin the23. října 2014během konference Hack.lu potvrzuje původ tohoto škodlivého programu .
Společnost F-Secure uzavře svou analýzu uvedením, že Regin nepochází z Ruska ani z Číny .
Intercept odhalil, že malware Regin byl součástí desetiletí trvající společné operace mezi Národní bezpečnostní agenturou a jejím britským protějškem, Vládním komunikačním ústředím (GCHQ). Zpráva o analýze Intercept je částečně založena na informacích od Edwarda Snowdena . Intercept připomíná, že malware GCHQ dal britským špionům příležitost sbírat data od společnosti Belgacom , společnosti, která poskytovala telekomunikační služby několika evropským institucím:
Odborník z nizozemské bezpečnostní společnosti Fox-IT, která v roce 2013 pomohla společnosti Belgacom vymýtit malware ze své sítě, uvedl, že je „přesvědčen“, že Regin byl vytvořen NSA nebo GCHQ. Na druhou stranu, tato společnost navrhuje, aby jednotlivé složky Regin představila aktuální odpovídat produktů jmenovaných UNITEDRAKE a STRAIGHTBIZARRE v katalogu (NSA katalogu NSA ANT (en) ), existence a obsahu, které byly zpřístupněny jejich noviny Der Spiegel29. prosince 2013.
Společnost Kaspersky uvádí, že její produkty detekují moduly platformy Regin pod názvy „Trojan.Win32.Regin.gen“ a „Rootkit.Win32.Regin“. Regin je produkty Symantec a Norton AntiVirus detekován jako „Backdoor.Regin“.