Symantec и «Лаборатория Касперского» независимо друг от друга опубликовали анализ новой троянской программы Regin. В Symantec её называют «самым сложным» среди всех образцов malware, какие им попадались в минувшие годы. Образец обнаружен на серверах бельгийской телекоммуникационной компании Belgacom.
Издание The Intercept провело собственное расследование и пришло к выводу, что Regin использовался разведывательными агентствами США и Великобритании.
The Intercept напоминает: ещё в документах Сноудена в прошлом году говорилось, что Belgacom находится «под колпаком» АНБ.
Специалисты ставят Regin в один ряд с другими, предположительно, «государственными» троянами Stuxnet, Flame, Duqu и Turla (Snake). При этом 28% подтверждённых случаев заражений приходится на Россию, а 24% — на Саудовскую Аравию.
Regin — многоуровневая программа, в которой каждый уровень замаскирован и зашифрован, кроме первого этапа. Запуск первого порождает цепную реакцию с расшифровкой каждого последующего. Пять уровней Regin показаны на схеме.
Только после «сборки» всех пяти уровней возможно проанализировать функциональность программы. Поэтому обнаружить её не удавалось так долго. По мнению Symantec, первый из полученных образцов программы использовался примерно между 2008 и 2011 годами, а второй датируется 2013 годом.
У Regin множество дополнительных модулей с полезной нагрузкой. Модуль RAT позволяет делать скриншоты, удалённо управлять мышкой, копировать пароли. Он анализирует интернет-трафик, восстанавливает удалённые файлы и т.д. Есть и другие модули, в том числе модуль для мониторинга трафика веб-сервера Microsoft IIS и снифер контроллеров базовой станции сотовой связи.
В отчёте Symantec указаны также индикаторы, по которым можно определить Regin в системе. Индикаторы продублированы на этой веб-странице.
Полезную информацию можно извлечь и из отчёта «Лаборатории Касперского» на эту тему. Российские специалисты считают, что троян существует уже более десяти лет.
Regin, названный так из-за того, что часть своих компонентов хранит в реестре Windows (игра слов «in registry» — «regin»), атакует лишь самые важные цели из ограниченного списка категорий: телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и учёные, участвующие в математических и криптографических исследованиях. В частности, одной из жертв оказался знаменитый бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере семпл зловреда.
Исследователям так и не удалось определить способ, который применяют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было обнаружено никаких эксплоитов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права администратора. В некоторых случаях заражены были контроллеры домена Windows-сети. Первый этап заражения заключается в проникновении на компьютер исполняемого файла, видов которого обнаружено очень много. Такое многообразие, по всей видимости, необходимо для затруднения обнаружения программы антивирусными инструментами. Другие компоненты вредоносной платформы, загружаемые после этого, хранятся напрямую на жестком диске (для 64-битных систем) или в расширенных атрибутах файловой системы NTFS (в 32-битных системах).
Программы второго этапа заражения обладают множеством функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальным файловым системам и базовые функции связи и хранения модулей.
Исследователями было выявлено два основных направления работы Regin: сбор информации и обеспечение проведения атак других типов. В большинстве случаев злоумышленники, стоящие за Regin, крадут письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки. Наиболее интересным из всех обнаруженных компонентов Regin оказался модуль, использующийся при заражении инфраструктуры GSM-связи и обнаруженный в сети одного из крупных операторов связи. Его основной функцией является запись всей активности определенных базовых станций сотовой связи, модуль ведет журнал, где сохраняются все вводимые команды для базовых станций производства Ericsson.
Также в обнаруженных журналах были найдены имена пользователей и пароли учётных записей инженеров, обслуживающих инфраструктуру. Всего в найденном журнале были записаны команды, исполнявшиеся на 136 различных базовых станциях.
Механизм управления и контроля Regin крайне сложен и основан на коммуникационных узлах, устанавливаемых злоумышленниками в сети жертвы. Зловред связывается с другими машинами сети, используя различные протоколы, в соответствии с настройками конфигурационного файла. Пограничные машины сети работают в качестве маршрутизатора, связывая заражённые машины жертв с внешними серверами управления и контроля. Исследователям удалось обнаружить пять таких серверов, расположенных на Тайване, в Индии и Бельгии. Особенно интересный случай был обнаружен в одной из средневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.
Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объём метаданных, что затрудняет определение того, какая страна стоит за этой атакой.
