Regin działa od 6 lat

[KopalniaWiedzy.pl 322]

Firma Symantec informuje o odkryciu zaawansowanego spyware'u nazwanego Regin. Od 2008 roku szpieguje on firmy, organizacje rządowe oraz osoby prywatne. Symantec opublikował właśnie analizę techniczną [PDF] Regiina, w której czytamy, że charakteryzuje go struktura świadcząca o rzadko spotykanych umiejętnościach jego twórców.

Backdoor.Regin jest dobrze ukrytym, zaszyfrowanym szkodliwym kodem. Proces jego uruchamiania składa się z pięciu etapów. Na każdym z nich odszyfrowywana jest kolejna część kodu. Dopiero odszyfrowanie całości pozwala na analizę kodu. Specjaliści Symanteka dowiedzieli się, że Regin jest kodem modułowym, co pozwala dobrać jego funkcje pod kątem konkretnego celu ataku.

Szkodliwy kod rozprzestrzenia się na wiele różnych sposobów. Wiadomo, że w niektórych przypadkach do zarażenia doszło, gdy użytkownicy odwiedzili podrobione wersje znanych serwisów internetowych. Wówczas kod instalował się wykorzystując luki w przeglądarkach lub aplikacjach internetowych. W co najmniej jednym przypadku doszło do zarażenia za pośrednictwem niepotwierdzonej dziury w Yahoo! Instant Messnger.

Analiza Regina wykazała, że potrafi on wykonywać zrzuty ekranowe, przechwytywać kliknięcia myszki, kraść hasła, monitorować ruch w sieci oraz odzyskiwać skasowane pliki. Wśród bardziej zaawansowanych funkcji odkryto możliwość monitorowania ruchu w serwerach Microsoft IIS czy śledzenie działań administratorów stacji bazowych telefonii komórkowej. Szkodliwy kod został wyposażony też w mechanizmy broniące go przed analizowaniem ze strony osób niepowołanych – korzysta z wbudowanego zaszyfrowanego wirtualnego systemu plików oraz alternatywnego sposobu szyfrowania, który jest odmianą szyfru blokowego RC5. Do komunikacji z napastnikiem Regin korzysta z ICMP, pinga, ciasteczek HTTP oraz protokołów TCP i UDP.

Do około połowy infekcji Reginem doszło z IP należących do dostawców usług internetowych. Zdaniem Symantecka, celem Regina nie są jednak ISP, a ich klienci. Około 28% zainfekowanych firm to przedsiębiorstwa telekomunikacyjne, pozostałe ofiary Regina działają na rynkach energetycznym, lotniczym, naukowym i usług turystycznych. Około połowy celów szkodliwego kodu znajduje się w Rosji i Arabii Saudyjskiej, inne ofiary pochodzą z Meksyku, Irlandi, Indii, Pakistanu, Austrii, Belgii, Afganistanu czy Iranu.

« powrót do artykułu

[wilk 103]

 

 

Do komunikacji z napastnikiem Regin korzysta z ICMP, pinga, ciasteczek HTTP oraz protokołów TCP i UDP.

 

Nie wiem o jakiego innego pinga chodzi, ale ten systemowy używa właśnie ICMP lub UDP (tudzież ARP).