Две недели назад немецкий журнал Spiegel опубликовал новые документы Сноудена с описанием вредоносного программного обеспечения, которое используется АНБ в время проведения «фазы 0», то есть подготовительного этапа операции. Цель — нащупать слабые звенья и уязвимости в системах противника. На последующих этапах происходит установка троянов и бэкдоров в системах противника и получение контроля над ними.

Среди прочего, в одном из документов приведён исходный код кейлоггера Qwerty, одного из модулей универсального шпионского фреймворка Warriorpride.

История получила неожиданное продолжение. Вчера специалисты «Лаборатории Касперского» выложили результаты сравнительного тестирования, которые показывают поразительное сходство отдельных фрагментов кейлоггера Qwerty с трояном Regin.

Regin — исключительно сложная и профессиональная программа, найденная на серверах бельгийской телекоммуникационной компании Belgacom и у других провайдеров в разных странах мира. Эксперты Symantec в ноябре 2014 года называли её «самым сложным» из всех образцов malware, какие попадались в минувшие годы. Эксперты практически не сомневались, что разработка Regin имела поддержку государственного уровня. Теперь мы можем догадаться, какая именно страна занималась «грязными» делишками.

Модуль Qwerty состоит из трёх бинарников и конфигурационных файлов. «Лаборатория Касперского» выделила бинарник 20123.sys и представила доказательства, что он сделан на основе исходного кода плагина 50251, входящего в состав Regin.

003

Основная часть общего кода принадлежит функции, которая получает доступ к системному драйверу клавиатуры.

004

Более того, в Qwerty есть одна строка, где модуль напрямую обращается к плагину 50225 из комплекта Regin. Это явное указание на то, что плагин Qwerty может работать как часть платформы Regin.

005

10 комментариев

  1. 28.01.2015 at 20:48

    Молодцы ребята. Умеют работать. Да причем хорошо работать (я про Каспера)

  2. 28.01.2015 at 21:06

    ну а откуда по вашему прилетели стукснет, ред октобер и фламе?) все оттуда де

  3. 28.01.2015 at 23:15

    а вы не думали что этот Сноуден всех нагинает и льет спецом левак) то что уже давно не нужно и далеко от дна, отвлекая таким образом внимание от настоящего?!

    • 29.01.2015 at 00:23

      Да я думаю это и так всем понятно.Если захотели,то уже давно бы и Wikileaks закрыли и Сноудена поймали бы ещё до того как он смылся…

      • 29.01.2015 at 02:51

        Уже живёшь в государстве, где правительство знает и может вообще всё? Погряз в антиутопии?

        • 29.01.2015 at 09:21

          По-моему,поймать одного человека(ЦРУ и до президентов добиралось)и закрыть десяток серверов не так уж и сложно…Не нужно быть Богом для этого…

  4. 30.01.2015 at 11:03

    Большая игра…

  5. 31.01.2015 at 02:27

    а каспер в подрядчиках был на проценте.. да, видать, срезали процент — и понеслась))

  6. 06.02.2015 at 13:12

    «Сходство исходников кейлоггера АНБ и трояна Regin»
    — А, с каких это пор кейлогер — перестал быть трояном… Опять дутая-сенсация.

    P.S.
    К тому же,верификация авторства — не полноценна. Да и врядли это возможно, в таких нелегальных условиях…
    Также никто не отменял возможности форка трояна — другими авторами троянов и хоть какиминибудь юными хэкерами…
    В общем, я бы на вашем месте переименвал бы статью в нечто вроде:
    «Сходство исходников трояна Regin и кейлоггера за авторством возможно — АНБ», а то ещё АНБ подаст на вас в суд за клевету вот будет хохма, в заголовках: АНБ vs/подловило Хакера…

Оставить мнение