Regin (malware) - Regin (malware)

Pro severského trpaslíka viz Regin (severská mytologie).
Viz také: VOJENSKÁ Pýcha

Regin (také známý jako Prax nebo QWERTY) je sofistikovaný malware a hackování sada nástrojů používaná Spojenými státy Národní bezpečnostní agentura (NSA) a jeho britský protějšek, Vládní komunikační ústředí (GCHQ).[1][2]Poprvé to veřejně odhalil Kaspersky Lab, Symantec, a Zásah v listopadu 2014.[3][4] Malware cílí na konkrétní uživatele Microsoft Windows založených na počítačích a bylo spojeno s americkou agenturou pro shromažďování zpravodajských informací NSA a jeho britský protějšek, GCHQ.[5][6][7] Zásah poskytl vzorky Reginu ke stažení včetně malwaru objeveného u belgického poskytovatele telekomunikací, Belgacom.[4] Společnost Kaspersky Lab říká, že se o Reginu dozvěděla poprvé na jaře 2012, ale že některé z prvních vzorků pocházejí z roku 2003.[8] (Jméno Regin se poprvé nachází na internetu VirusCelkem webové stránky dne 9. března 2011.[4]) Z počítačů infikovaných celosvětově Reginem bylo 28 procent Rusko, 24 procent v Saudská arábie, 9 procent každý Mexiko a Irsko a 5 procent v každé z nich Indie, Afghánistán, Írán, Belgie, Rakousko a Pákistán.[9] Společnost Kaspersky Lab nedávno objevila několik použitých vektorů útoků. Úpravy USB a BIOSu umožňují většinu malware být injektován přes porty 1, 2, 3 a 5. Oběť vidí mnoho dalších služeb a procesů. „Zadní místnost“ tvůrců najde kolize v přehledech zpráv SHA2, což naznačuje, že je použito hodně času CPU. Pokud aktualizace virového softwaru mírně pozměnila aktualizace (na uživatele, např. 256 bajtů náhodných dat), muselo by dojít ke kolizím u každého uživatele. Kaspersky uvedl, že hlavními oběťmi malwaru jsou soukromé osoby, malé podniky a telekomunikační společnosti. Regin byl srovnáván s Stuxnet a předpokládá se, že jej vyvinuli „dobře vybavené týmy vývojářů“, pravděpodobně a Západní vládu, jako cílený víceúčelový nástroj pro sběr dat.[10][11][12]

Podle Die Welt, bezpečnostní experti na Microsoft dal mu jméno „Regin“ v roce 2011, podle mazaného skandinávského trpaslíka Regin.[13]

Úkon

Regin používá modulární přístup, který mu umožňuje načíst funkce, které přesně zapadají do cíle, což umožňuje přizpůsobené špionáže. Díky své konstrukci je velmi vhodný pro trvalé dlouhodobé operace hromadného sledování proti cílům.[14][15]

Regin je nenápadný a neukládá více souborů na infikovaném systému; místo toho používá vlastní šifrování virtuální souborový systém (EVFS) zcela obsažený v tom, co vypadá jako jeden soubor s neškodným názvem pro hostitele, v němž jsou soubory identifikovány pouze číselným kódem, nikoli jménem. EVFS využívá variantní šifrování zřídka používaných Šifra RC5.[15] Regin komunikuje přes internet pomocí ICMP /ping, příkazy vložené do HTTP cookies a zvyk TCP a UDP protokoly s a řídící a řídící server které mohou ovládat operace, nahrávat další užitečné zatížení, atd.[9][11]

Identifikace a pojmenování

Společnost Symantec říká, že jak ona, tak společnost Kaspersky identifikovali malware jako Backdoor.Regin.[9] Většina antivirových programů, včetně společnosti Kaspersky, (k říjnu 2015) NEidentifikuje vzorek Reginu vydaného společností The Intercept jako malware.[16] Dne 9. března 2011 společnost Microsoft přidala související položky do své encyklopedie škodlivého softwaru;[17][18] později další dvě varianty, Reg. B. a Regin.C byly přidány. Zdá se, že Microsoft volá 64bitové varianty Reginu Prax.A a Prax.B. Položky Microsoftu neobsahují žádné technické informace.[4] Zveřejnily společnosti Kaspersky i Symantec bílé papíry s informacemi, které se o malwaru dozvěděli.[11][12]

Známé útoky a původce malwaru

Německý zpravodajský časopis Der Spiegel v červnu 2013 uvedlo, že USA inteligence Národní bezpečnostní agentura (NSA) provedl online dohled nad oběma Evropská unie (EU) občané a instituce EU. Informace pochází z získané tajné dokumenty bývalý pracovník NSA Edward Snowden. Oba Der Spiegel a Zásah citovat tajný dokument NSA z roku 2010 o tom, že jej vytvořil kybernetické útoky téhož roku, aniž by upřesnil použitý malware, proti diplomatickým zastoupením EU v Washington DC. a jeho vyjádření k Spojené národy.[4][19] Známky identifikující software používaný jako Regin byly nalezeny vyšetřovateli na infikovaných počítačích.

Zásah uvedl, že v roce 2013 Spojené království GCHQ napaden Belgacom, Největší belgická telekomunikační společnost.[4] Tyto útoky mohly vést k tomu, že se Regin dostal do pozornosti bezpečnostních společností. Na základě analýzy provedené IT bezpečnostní firmou Fox IT, Der Spiegel hlášeno v listopadu 2014, že Regin je nástrojem britských a amerických zpravodajských agentur. Společnost Fox IT našla Regin na počítačích jednoho ze svých zákazníků a podle jejich analýz jsou části Regin zmíněny v Katalog NSA ANT pod názvy „Straitbizarre“ a „Unitedrake“. Fox IT zákazníka nepojmenoval, ale Der Spiegel zmínil, že mezi zákazníky Fox IT je Belgacom, a uvedl šéfa Fox IT Ronalda Prinsa, který uvedl, že nesmí hovořit o tom, co našli v síti Belgacom.[1]

V prosinci 2014 německé noviny Bild uvedl, že Regin byl nalezen na a USB flash disk používaný zaměstnancem kancléře Angela Merkelová. Kontroly všech vysoce zabezpečených notebooků v Německý kancléř neodhalila žádné další infekce.[20]

Regin byl použit v říjnu a listopadu 2018 k hacknutí výzkumné a vývojové jednotky Yandex.[21]

Viz také

Reference

  1. ^ A b Christian Stöcker, Marcel Rosenbach „Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe“ Der Spiegel, 25. listopadu 2014
  2. ^ http://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html
  3. ^ „Regin Revealed“. Kaspersky Lab. Citováno 24. listopadu 2014.
  4. ^ A b C d E F Markýz-Boire, Morgan; Guarnieri, Claudio; Gallagher, Ryan (24. listopadu 2014). „Tajný malware v útokech Evropské unie souvisí s americkými a britskými zpravodajskými službami“. Zásah.
  5. ^ [1]
  6. ^ Perlroth, Nicole (24. listopadu 2014). „Společnost Symantec objevuje„ znovuzískaný “spy kód číhající na počítačové sítě“. New York Times. Citováno 25. listopadu 2014.
  7. ^ Gallagher, Ryane. „Vnitřní příběh o tom, jak britští špioni napadli největší belgické telekomunikační společnosti“. Zásah.
  8. ^ Kaspersky: Regin: škodlivá platforma schopná špehovat sítě GSM, 24. listopadu 2014
  9. ^ A b C „Regin: Špionážní nástroj nejvyšší úrovně umožňuje nenápadný dohled“. Symantec. 23. listopadu 2014. Citováno 25. listopadu 2014.
  10. ^ „BBC News - Regin, nová chyba špionáže počítače, objevená společností Symantec“. bbc.com. Citováno 23. listopadu 2014.
  11. ^ A b C „Reginova bílá kniha“ (PDF). Symantec. Citováno 23. listopadu 2014.
  12. ^ A b „Reginova bílá kniha“ (PDF). Kaspersky Lab. Citováno 24. listopadu 2014.
  13. ^ Benedikt Fuest. „Ein Computervirus, so mächtig wie keines zuvor“. Die Welt. Archivovány od originál dne 28. listopadu 2014.
  14. ^ „Regin Malware - špionážní nástroj„ sponzorovaný státem “zaměřený na vlády“. The Hacking Post - nejnovější hackerské zprávy a aktualizace zabezpečení.
  15. ^ A b „NSA, GCHQ nebo oba za malwarem typu Regin podobným Stuxnetu?“. scmagazineuk.com. 24. listopadu 2014. Citováno 25. listopadu 2014.
  16. ^ Virustotal: Poměr detekce: 21/56
  17. ^ Microsoft Malware Protection Center, klikněte na tlačítko „Encyklopedie malwaru
  18. ^ Microsoft Protection Center: Trojan: WinNT / Regin.A
  19. ^ Poitras, Laura; Rosenbach, Marcel; Schmid, Fidelius; Stark, Holger (29. června 2013). „Útoky z Ameriky: NSA špehovala kanceláře Evropské unie“. Der Spiegel.
  20. ^ „Německá vláda popírá, že se stal obětí kybernetického útoku“. Deutsche Welle. 29. prosince 2014.
  21. ^ Reuters (27. června 2019). „Western Intelligence napadl„ ruský Google “Yandex, aby sledoval účty“. Archivovány od originál 29. června 2019.

externí odkazy