Zidentyfikowano wirus, który od 11 lat szpieguje dla Rosji i Chin? Czym jest Regin?

Kiedy w 2010 roku białoruska firma antywirusowa na zlecenie swego irańskiego klienta analizowała pewien podejrzany plik pewnie nikt nie podejrzewał, że świat dowie się niebawem czym jest Stuxnet, najgroźniejszy wirus świata. Dziś wiemy już, że takie narzędzia były tworzone dużo wcześniej. Jedno z najstarszych zostało najprawdopodobniej właśnie zdemaskowane. Działał na rzecz Rosji i Chin?

Symantec poinformował o zidentyfikowaniu niezwykle groźnego wirusa o nazwie Regin. Podobnie jak słynny Stuxnet, a także Flame czy Duqu jest robakiem wymierzonym w instytucje państwowe, firmy takie jak banki, operatorzy komórkowi czy linie lotnicze oraz bardzo konkretne, ważne dla zleceniodawców osoby.

Jak informuje portal Niebezpiecznik.pl pierwsze ślady pozostawione przez Regina sięgają roku 2003. Wirus okazał się na tyle doskonały, że przez całe lata przeprowadzał niezauważone ataki. Wszystko dla tego, że Regina przekształcono w co najmniej pięćdziesiąt różnych robaków.

Dziś wiemy, że Regin zainfekował różne systemy m.in. w Niemczech, Iranie, Syrii, Pakistanie, Rosji, Arabii Saudyjskiej, Belgii.

5 stadiów ataku

Regin działa w bardzo wyrafinowany sposób. Mechanizm wyjaśnia portal Niebezpiecznik.pl

Kiedy Regin zostanie odpalony, przechodzi przez 5 stadiów. Najpierw ładuje kod ataku i konfiguruje się w oparciu o zastaną architekturę środowiska ofiary, potem ładuje odpowiednie sterowniki do jądra, sprząta po sobie i uruchamia konkretny payload (standardowo; backdoor, keylogger, sniffer oraz moduły do monitoringu urządzeń podpinanych pod USB a także odzyskiwania usuniętych danych z dysków). Co ciekawe, każde stadium jest zaszyfrowane osobno (klucze dla kolejnego stadium znajdują się w poprzednim - to utrudnia analizę, ponieważ mając zagrożenie w finalnym stadium brak jest informacji na temat poprzednich faz ataku). Regin przechowuje dane w rozszerzonych atrybutach Windowsa (metadane filesystemu Windowsa) oraz tzw. VFS.
[...] Wszystko wskazuje na to, że atakujący korzystają z wielu wektorów ataku. Kaspersky twierdzi, że większość ataków jest wycelowana w administratorów sieci i właśnie dzięki temu atakujący zdobywają od razu tak szeroki zakres kontroli nad firmowymi sieciami.

Regin tworzy też własny rodzaj sieci P2P i wykorzystuje go do komunikacji.

Kto stworzył ten wirus? Jak zwykle w tego typu przypadkach nic nie jest do końca jasne. Firma F-Secure twierdzi, że to nie dzieło Rosji i Chin. Eugene Kaspersky radzi natomiast wycięcie z poniższego szablonu kostki i wylosowanie winowajcy. Regin to kolejne doskonałe narzędzie, które zapewne nigdy nie pozwoli odkryć swojego twórcy.

 

Kaspersky proponuje: chcesz wiedzieć kto stworzył Regin? Wytnij kostkę i wylosuj autoraFot. Twitter/Niebezpiecznik.pl

Więcej o: