Две недели назад немецкий журнал Spiegel опубликовал новые документы Сноудена с описанием вредоносного программного обеспечения, которое используется АНБ в время проведения «фазы 0», то есть подготовительного этапа операции. Цель — нащупать слабые звенья и уязвимости в системах противника. На последующих этапах происходит установка троянов и бэкдоров в системах противника и получение контроля над ними.
Среди прочего, в одном из документов приведён исходный код кейлоггера Qwerty, одного из модулей универсального шпионского фреймворка Warriorpride.
История получила неожиданное продолжение. Вчера специалисты «Лаборатории Касперского» выложили результаты сравнительного тестирования, которые показывают поразительное сходство отдельных фрагментов кейлоггера Qwerty с трояном Regin.
Regin — исключительно сложная и профессиональная программа, найденная на серверах бельгийской телекоммуникационной компании Belgacom и у других провайдеров в разных странах мира. Эксперты Symantec в ноябре 2014 года называли её «самым сложным» из всех образцов malware, какие попадались в минувшие годы. Эксперты практически не сомневались, что разработка Regin имела поддержку государственного уровня. Теперь мы можем догадаться, какая именно страна занималась «грязными» делишками.
Модуль Qwerty состоит из трёх бинарников и конфигурационных файлов. «Лаборатория Касперского» выделила бинарник 20123.sys и представила доказательства, что он сделан на основе исходного кода плагина 50251, входящего в состав Regin.
Основная часть общего кода принадлежит функции, которая получает доступ к системному драйверу клавиатуры.
Более того, в Qwerty есть одна строка, где модуль напрямую обращается к плагину 50225 из комплекта Regin. Это явное указание на то, что плагин Qwerty может работать как часть платформы Regin.
