Symantec и «Лаборатория Касперского» независимо друг от друга опубликовали анализ новой троянской программы Regin. В Symantec её называют «самым сложным» среди всех образцов malware, какие им попадались в минувшие годы. Образец обнаружен на серверах бельгийской телекоммуникационной компании Belgacom.

Издание The Intercept провело собственное расследование и пришло к выводу, что Regin использовался разведывательными агентствами США и Великобритании.

The Intercept напоминает: ещё в документах Сноудена в прошлом году говорилось, что Belgacom находится «под колпаком» АНБ.

Специалисты ставят Regin в один ряд с другими, предположительно, «государственными» троянами Stuxnet, Flame, Duqu и Turla (Snake). При этом 28% подтверждённых случаев заражений приходится на Россию, а 24% — на Саудовскую Аравию.

Regin — многоуровневая программа, в которой каждый уровень замаскирован и зашифрован, кроме первого этапа. Запуск первого порождает цепную реакцию с расшифровкой каждого последующего. Пять уровней Regin показаны на схеме.

003

Только после «сборки» всех пяти уровней возможно проанализировать функциональность программы. Поэтому обнаружить её не удавалось так долго. По мнению Symantec, первый из полученных образцов программы использовался примерно между 2008 и 2011 годами, а второй датируется 2013 годом.

У Regin множество дополнительных модулей с полезной нагрузкой. Модуль RAT позволяет делать скриншоты, удалённо управлять мышкой, копировать пароли. Он анализирует интернет-трафик, восстанавливает удалённые файлы и т.д. Есть и другие модули, в том числе модуль для мониторинга трафика веб-сервера Microsoft IIS и снифер контроллеров базовой станции сотовой связи.

В отчёте Symantec указаны также индикаторы, по которым можно определить Regin в системе. Индикаторы продублированы на этой веб-странице.

Полезную информацию можно извлечь и из отчёта «Лаборатории Касперского» на эту тему. Российские специалисты считают, что троян существует уже более десяти лет.

Как сообщают исследователи-безопасники «Лаборатории Касперского», разрозненные следы Regin они встречали с 2012 года, на антивирусных сервисах периодически всплывали различные не связанные между собой семплы с загадочным предназначением, некоторые из которых были созданы в 2003 году. Полноценно проанализировать атаку удалось лишь недавно.

Regin, названный так из-за того, что часть своих компонентов хранит в реестре Windows (игра слов «in registry» — «regin»), атакует лишь самые важные цели из ограниченного списка категорий: телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и учёные, участвующие в математических и криптографических исследованиях. В частности, одной из жертв оказался знаменитый бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере семпл зловреда.

Исследователям так и не удалось определить способ, который применяют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было обнаружено никаких эксплоитов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права администратора. В некоторых случаях заражены были контроллеры домена Windows-сети. Первый этап заражения заключается в проникновении на компьютер исполняемого файла, видов которого обнаружено очень много. Такое многообразие, по всей видимости, необходимо для затруднения обнаружения программы антивирусными инструментами. Другие компоненты вредоносной платформы, загружаемые после этого, хранятся напрямую на жестком диске (для 64-битных систем) или в расширенных атрибутах файловой системы NTFS (в 32-битных системах).

Программы второго этапа заражения обладают множеством функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальным файловым системам и базовые функции связи и хранения модулей.

Исследователями было выявлено два основных направления работы Regin: сбор информации и обеспечение проведения атак других типов. В большинстве случаев злоумышленники, стоящие за Regin, крадут письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки. Наиболее интересным из всех обнаруженных компонентов Regin оказался модуль, использующийся при заражении инфраструктуры GSM-связи и обнаруженный в сети одного из крупных операторов связи. Его основной функцией является запись всей активности определенных базовых станций сотовой связи, модуль ведет журнал, где сохраняются все вводимые команды для базовых станций производства Ericsson.

Также в обнаруженных журналах были найдены имена пользователей и пароли учётных записей инженеров, обслуживающих инфраструктуру. Всего в найденном журнале были записаны команды, исполнявшиеся на 136 различных базовых станциях.

Механизм управления и контроля Regin крайне сложен и основан на коммуникационных узлах, устанавливаемых злоумышленниками в сети жертвы. Зловред связывается с другими машинами сети, используя различные протоколы, в соответствии с настройками конфигурационного файла. Пограничные машины сети работают в качестве маршрутизатора, связывая заражённые машины жертв с внешними серверами управления и контроля. Исследователям удалось обнаружить пять таких серверов, расположенных на Тайване, в Индии и Бельгии. Особенно интересный случай был обнаружен в одной из средневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объём метаданных, что затрудняет определение того, какая страна стоит за этой атакой.



12 комментария

  1. 26.11.2014 at 16:23

    Вовремя. Интернет и сотовую связь в стране пора запрещать. В целях вашей же безопасности.

  2. 26.11.2014 at 19:21

    Ужос! Как страшно жить! О_о

  3. 26.11.2014 at 23:38

    Бедные американцы, им бы думать как гос.долг погасить — а они всё изголяются над малварью… Толи еще будет, чем дольше длится «безделие», тем не предсказуемее его последствия, когда у целого штата аналитиков, программеров и топологов есть и время, и ресурс на такие задачи — несложно представить, во что это все может развится выйдя за рамки только лишь IT-отрасли (а если аналогичные разработки ведутся например в квинтессенции отраслей кибернетики, нанотехнологии, психологии и какого-нибудь сурового матана)…

  4. 27.11.2014 at 00:21

    Лажа какая-то. А не новость.

  5. 27.11.2014 at 10:15

    Просто надо вернутся к MSDOS телефоны использовать типа нокиа
    фонарик который не может отсылать даже ММS а интернет ему только сниться! и
    проблема решена ))

  6. 27.11.2014 at 14:30

    Пф… дилетанты! Apple у всего мира отпечатки пальцев собрала, номера кредитных карт, личные фотографии, образцы голоса, электронные адреса и телефоны, местоположения и кук знает что еще.

    • 29.11.2014 at 17:27

      Google тоже. Да и многие этим грешат. В целях сохранности данных, конечно. 😀

    • 02.12.2014 at 12:08

      Apple и Google собирают инфу у простых пользователей, толку от которых в стратегическом плане полный ноль, а вот эта тварюга собирает инфу государственной, стратегической важности, которую можно использовать в военных целях.
      А хомячки типа всех нас с вами им малоитересны.

  7. 12.12.2014 at 01:25

    Надо Лабораторию Касперского развивать, слишком долго работают. Для улучшения статистики, надо распространять антивирус, делать его дешевле, а не ломить цену. Все таки Касперский в интересах страны трудится, не понятно почему цены на антивирусное ПО такие высокие до сих пор..

  8. 21.12.2014 at 23:43

    «regin» — читать наоборот — «niger». Обама — нигер, а также президеннт США с января 2009 года.
    Цитата: «По мнению Symantec, первый из полученных образцов программы
    использовался примерно между 2008 и 2011 годами, а второй датируется
    2013 годом.» Как-то так совпало, случайно конечно, но…

Оставить мнение