USD 92.59 ЕВРО 100.27

Какое государство стоит за изощренной вредоносной программой Regin?

Аналитика

Исследователи Symantec впечатлены работой Regin. Эта программа производит высокоуровневые кампании наблюдения по всему миру с 2008 года. Стоит ли за ней какое-то государство?

Symantec Security Response обнаружила новое вредоносное ПО под названием Regin, которое «… демонстрирует редкий уровень технической компетентности, который был использован в шпионаже против правительств, операторов инфраструктур, предприятий, исследователей и частных лиц».

Этот бэкдор-троян использовался по крайней мере с 2008 года, и с тех пор находился под наблюдением.

Уровень качества и количество предпринятых усилий для создания секретности убеждает Symantec, что это основной инструмент кибершпионажа какого-то государства.

Regin является многоэтапной атакой. Каждый этап, кроме первого, шифруется. Каждый этап сам по себе не дает представление об общей атаке. Целостная картина возникает только когда у вас есть все пять этапов.

Атаки осуществлялись в период с 2008 по 2011 годы (Regin 1.0), после чего вредоносные программы исчезли. Они всплыли в 2013 году (Regin 2.0) с некоторыми значительными отличиями: новая версия 64-битная, и, возможно, лишилась одного этапа.

Symantec не нашла этап 3 в версии 2.0, что можно объяснить тем, что в 1-й версии, 3-й этап касается драйвера устройства, а тайная установка драйверов устройств в 64-битной Windows является сложным делом даже для изощренных хакеров.

Описание Backdoor.Trojan.GR в базе данных угроз Symantec показывает, что она была обнаружена и защита предоставляется с 12 декабря 2013 года. Предположительно, они не знали, что угроза существовала намного дольше, а ретроспективный анализ показал ее истинную природу и использование в предшествующие годы.

Тем не менее, есть еще много непонятного для исследователей Regin. Например, не определен воспроизводимый вектор инфекции, а он может настраиваться для конкретных атак.

Существует также «десятки вариантов полезной нагрузки Regin», обеспечивающие множество обычных вещей: кражу пароля, захват изображения экрана, воровство файлов (в том числе удаленных файлов) и многое другое.

Вредоносная программа использует нестандартные и странные методы, чтобы оставаться незаметной. Например, она имеет собственную встроенную зашифрованную виртуальную файловую систему. Symantec считает, что многие компоненты Regin остаются нераскрытыми.

Основываясь на сложности угрозы и значительных инвестициях, которые она требует, трудно не согласиться с Symantec, что это похоже на инструмент государственного шпионажа. График Symantec распространения инфекций по стране также демонстрирует нетипичную ситуацию.