Другие новости
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Huawei представляет первую большую модель сети — Net Master для рынков за пределами Китая
«Креативные индустрии 2024»: в номинации «Музыкальный проект года» победил Владимир Котов
CGTN: экономика Китая сохраняет жизнестойкость за счет инновационного роста, бума на рынке
Какое государство стоит за изощренной вредоносной программой Regin?
Аналитика
Исследователи Symantec впечатлены работой Regin. Эта программа производит высокоуровневые кампании наблюдения по всему миру с 2008 года. Стоит ли за ней какое-то государство?
Symantec Security Response обнаружила новое вредоносное ПО под названием Regin, которое «… демонстрирует редкий уровень технической компетентности, который был использован в шпионаже против правительств, операторов инфраструктур, предприятий, исследователей и частных лиц».
Этот бэкдор-троян использовался по крайней мере с 2008 года, и с тех пор находился под наблюдением.
Уровень качества и количество предпринятых усилий для создания секретности убеждает Symantec, что это основной инструмент кибершпионажа какого-то государства.
Regin является многоэтапной атакой. Каждый этап, кроме первого, шифруется. Каждый этап сам по себе не дает представление об общей атаке. Целостная картина возникает только когда у вас есть все пять этапов.
Атаки осуществлялись в период с 2008 по 2011 годы (Regin 1.0), после чего вредоносные программы исчезли. Они всплыли в 2013 году (Regin 2.0) с некоторыми значительными отличиями: новая версия 64-битная, и, возможно, лишилась одного этапа.
Symantec не нашла этап 3 в версии 2.0, что можно объяснить тем, что в 1-й версии, 3-й этап касается драйвера устройства, а тайная установка драйверов устройств в 64-битной Windows является сложным делом даже для изощренных хакеров.
Описание Backdoor.Trojan.GR в базе данных угроз Symantec показывает, что она была обнаружена и защита предоставляется с 12 декабря 2013 года. Предположительно, они не знали, что угроза существовала намного дольше, а ретроспективный анализ показал ее истинную природу и использование в предшествующие годы.
Тем не менее, есть еще много непонятного для исследователей Regin. Например, не определен воспроизводимый вектор инфекции, а он может настраиваться для конкретных атак.
Существует также «десятки вариантов полезной нагрузки Regin», обеспечивающие множество обычных вещей: кражу пароля, захват изображения экрана, воровство файлов (в том числе удаленных файлов) и многое другое.
Вредоносная программа использует нестандартные и странные методы, чтобы оставаться незаметной. Например, она имеет собственную встроенную зашифрованную виртуальную файловую систему. Symantec считает, что многие компоненты Regin остаются нераскрытыми.
Основываясь на сложности угрозы и значительных инвестициях, которые она требует, трудно не согласиться с Symantec, что это похоже на инструмент государственного шпионажа. График Symantec распространения инфекций по стране также демонстрирует нетипичную ситуацию.