Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Какое государство стоит за изощренной вредоносной программой Regin?
Аналитика
Исследователи Symantec впечатлены работой Regin. Эта программа производит высокоуровневые кампании наблюдения по всему миру с 2008 года. Стоит ли за ней какое-то государство?
Symantec Security Response обнаружила новое вредоносное ПО под названием Regin, которое «… демонстрирует редкий уровень технической компетентности, который был использован в шпионаже против правительств, операторов инфраструктур, предприятий, исследователей и частных лиц».
Этот бэкдор-троян использовался по крайней мере с 2008 года, и с тех пор находился под наблюдением.
Уровень качества и количество предпринятых усилий для создания секретности убеждает Symantec, что это основной инструмент кибершпионажа какого-то государства.
Regin является многоэтапной атакой. Каждый этап, кроме первого, шифруется. Каждый этап сам по себе не дает представление об общей атаке. Целостная картина возникает только когда у вас есть все пять этапов.
Атаки осуществлялись в период с 2008 по 2011 годы (Regin 1.0), после чего вредоносные программы исчезли. Они всплыли в 2013 году (Regin 2.0) с некоторыми значительными отличиями: новая версия 64-битная, и, возможно, лишилась одного этапа.
Symantec не нашла этап 3 в версии 2.0, что можно объяснить тем, что в 1-й версии, 3-й этап касается драйвера устройства, а тайная установка драйверов устройств в 64-битной Windows является сложным делом даже для изощренных хакеров.
Описание Backdoor.Trojan.GR в базе данных угроз Symantec показывает, что она была обнаружена и защита предоставляется с 12 декабря 2013 года. Предположительно, они не знали, что угроза существовала намного дольше, а ретроспективный анализ показал ее истинную природу и использование в предшествующие годы.
Тем не менее, есть еще много непонятного для исследователей Regin. Например, не определен воспроизводимый вектор инфекции, а он может настраиваться для конкретных атак.
Существует также «десятки вариантов полезной нагрузки Regin», обеспечивающие множество обычных вещей: кражу пароля, захват изображения экрана, воровство файлов (в том числе удаленных файлов) и многое другое.
Вредоносная программа использует нестандартные и странные методы, чтобы оставаться незаметной. Например, она имеет собственную встроенную зашифрованную виртуальную файловую систему. Symantec считает, что многие компоненты Regin остаются нераскрытыми.
Основываясь на сложности угрозы и значительных инвестициях, которые она требует, трудно не согласиться с Symantec, что это похоже на инструмент государственного шпионажа. График Symantec распространения инфекций по стране также демонстрирует нетипичную ситуацию.