FLB: Схема Regin окончательно не изучена, хотя вирус существует с 2003 года, однако известно, что на первом этапе троян заражает ряд компьютеров, а затем организует из них сеть, причем один из ПК становится маршрутизатором
Во фрагменте исходного кода вредоносной программы QWERTY, которая, согласно разоблачениям Эдварда Сноудена, используется Агентством национальной безопасности США, специалисты "Лаборатории Касперского" опознали один из элементов вирусa Regin , пишет Der Spiegel .
"Проведенный нами технический анализ показал, что QWERTY идентичен плагину 50251 для Regin", - цитирует журнал Костина Райю, который занимает в российской компании пост директора по исследованиям. По его словам, речь идет о "модуле-кейлоггере" - программном средстве, позволяющем регистрировать все нажатия клавиш на клавиатуре зараженного компьютера и затем отправлять эту информацию на другой компьютер. Полученные данные также позволяют заключить, что Regin использовался одновременно "различными учреждениями из различных стран", добавил Райю.
Конкретных догадок о том, кто стоит за Regin, "Лаборатория Касперского" не высказывает, однако журналисты Der Spiegel считают заключение экспертов "однозначным доказательством того, что Regin фактически является киберплацдармом альянса Five Eyes, то есть спецслужб США, Великобритании, Канады, Новой Зеландии и Австралии", отмечает Inopressa со ссылкой на издание.
Примечательно, что канадский теоретик Маршал МакЛухан (Marshall McLuhan) предвидел это десятки лет назад. В 1970 г. он заявил: «Третья мировая война будет партизанской информационной войной без разделения между военным и гражданским участием». Это, по мнению немецкого издания, именно то, к чему АНБ готовится сейчас, дополняет CNEWS.
Как пишет «Корпорация связи», Regin – один из самых страшных вирусов за всю историю, он не ворует деньги, зато в деле похищения информации ему, пожалуй, равных нет. Этот троян знаменит атаками на крупные телекоммуникационные и финансовые компании, а также международные политические организации. Regin может заразить базовую станцию мобильной связи и осуществлять слежку за интересующими абонентами, может воровать письма и документы… в общем, список его "похождений" и возможностей по-настоящему впечатляет.
Схема Regin окончательно не изучена, хотя вирус существует с 2003 года, однако известно, что на первом этапе троян заражает ряд компьютеров (пока неизвестно как), а затем организует из них сеть, причем один из ПК становится маршрутизатором, который отвечает за связь с сервером злоумышленников. Эксперты уверены – Regin – дело рук не программистов любителей, а одной из мировых спецслужб.
Калифорнийская софтверная компания Symantec, известная своими антивирусными утилитами (Norton AntiVirus и др.), опубликовала развёрнутый постинг и 22-страничную презентацию о раскрытом ею компьютерном вирусе Regin, назвав его «одной из самых революционных и бесподобных вредоносных программ» в мировой истории, писало еще в ноябре 2014 года РИА ФАН .
Эпитеты громкие, однако вовсе не они приковали к сообщению Symantec внимание мировых агентств. Оказалось, что Regin, скрывающий в себе сразу несколько шпионских функций, отличается от конкурентов не только своим выдающимся техническим совершенством, но и тем, что, во-первых, очевидным образом создан на деньги какого-то правительства и в его же интересах, и во-вторых, направлен главным образом против российских и саудовских компаний, организаций и частных лиц. Именно поэтому новость об очередном шедевре коллективного хакерского гения немедленно перекочевала в отечественных и мировых СМИ из разряда «Софт и игры» в рубрику «Политика».
Что умеет Regin
Вот неполный список того, что умеет Regin: делать скриншоты, отслеживать нажатие клавиш, перегружать компьютер и завершать процессы; брать на себя управление движениями и кликами мышки; воровать пароли и данные аккаунтов; контролировать сетевой трафик; мониторить запущенные программы, загруженность памяти и работу жёстких дисков; читать, копировать и перемещать любые файлы, включая частично или полностью удалённые. Назначение некоторых обнаруженных модулей, расширяющих функциональность вируса, до сих пор не раскрыто, отмечает РИА ФАН.
Инфографика ТАСС
Одной из особенностей Regin являются расширенные возможности контроля за ним со стороны атакующих злоумышленников. Связь между вирусом и его удалённым хозяином может быть инициирована с обеих сторон, причём инструкции «из Центра» или новые модули, устанавливаемые в компьютер-жертву, вирус может получать по одному каналу связи, а отправлять похищенные данные — по другому. Весь обмен данными надёжно зашифрован. Это позволяет использовать инфицированную систему как промежуточную площадку для дальнейшего распространения вируса.
Заражение вирусом может происходить различными способами, включая посещение пользователями ложных версий известных сайтов, запуск определённых программ или приём вредоносных сообщений через мессенджеры. Зафиксирован случай, когда один модуль к Regin был специально доставлен и внедрён в заражённую систему уже после её первичного инфицирования.
Regin имеет пятиуровневую архитектуру, причем относительно видимым является лишь первая его стадия, запускающая установку вируса в систему на манер цепной реакции после того, как в неё проник изначальный носитель-троян. Проанализировать конкретную модификацию вируса и понять точную угрозу, которую он несёт, можно лишь после обнаружения всех пяти его стадий в каждом конкретном компьютере. При этом за целый год сотрудники Symantec так и не смогли отыскать пример нетронутого, «упакованного» трояна — «нулевую стадию» Regin, внедряемого в компьютер-жертву; возможно, он вообще не является исполняемым файлом.
Шпионские модули раскрываются и устанавливаются на зашифрованных стадиях инфицирования — четвёртой и пятой. Установка вируса происходит в его собственной зашифрованной виртуальной файловой системе, в которой файлы не имеют имён и идентифицируются по двоичным тэгам.
Оружие против России
Шпионский вирус Regin основной свой вред наносит в России, утверждают аналитики лидирующих в мире антивирусных компаний. Программа-шпион, сервер которой расположен в Индии, в числе прочего способна взламывать GSM-сети, информирует ТАСС .
По сообщению Symantec, вирус Regin используется в шпионских целях как минимум с 2008 года. Распространение его первой версии было внезапно свёрнуто в 2011 году. После этого её следы обнаруживались лишь в тех случаях, когда хозяева вируса не имели возможности его «штатно» удалить. В 2013 году была запущена вторая версия Regin. Однако сотрудники Symantec почти не имели с ней дела и честно признаются в своём отчёте, что он в основном построен на анализе ранней версии вируса. И добавляют, что, помимо двух известных версий, скорее всего, существуют и другие его вариации.
В целом ряде случаев подгружённые вирусом модули имели строго «индивидуальные» функции, подходящие именно для заражённых систем, включая сбор телефонного траффика или отслеживание писем с почтовых серверов. Некоторые из подобных модулей указывают на то, что их разработчики хорошо ориентировались в программном обеспечении заражаемых систем. По мнению Symantec, это говорит об уровне экспертной осведомлённости создателей вируса: причём, видимо, не столько технической, сколько разведывательной.
Из всего объёма проанализированных данных Symantec делает однозначный вывод о том, что собой представляет вирус Regin. Это стоит процитировать целиком: «Regin — это многосторонняя угроза, связанная с систематическим собиранием информации или кампаниями по сбору разведданных. На создание и поддержание этой вредоносной программы должно было уйти значительное количество времени и ресурсов, что свидетельствует о вовлечённости правительственных интересов. Устройство вируса делает его крайне удобным для постоянного и долгосрочного надзора и наблюдения за целями».
Какие же цели имеются в виду? В своём отчёте Symantec достаточно прозрачно указал, о чём идёт речь. Как сообщается, вирус затронул в основном компьютеры и сети индивидуальных пользователей или мелких бизнес-компаний (48%), а также больших корпораций, правительственных организаций и научных институтов. По диаграммам в презентации видно, что из отдельных видов бизнеса Regin больше всего похозяйничал в сфере телекоммуникаций (28%), энергетике (5%) и воздушных перевозках (5%).
Ещё интереснее расклад по наиболее пострадавшим от вируса странам. Инфицирование Regin зафиксировано «главным образом» в десяти различных странах: это Россия (28%), Саудовская Аравия (24%), Мексика (9%), Ирландия (9%), а также Индия, Афганистан, Иран, Бельгия, Австрия и Пакистан, на которые приходится по 5% заражений. В каких государствах вирус распространялся «не главным образом», Symantec не сообщает.
Из двух этих раскладов — по странам и сферам деятельности — вполне можно сделать вывод о том, что разработчиков Regin в первую очередь интересовала повседневная профессиональная и частная жизнь менеджмента российских и саудовских нефтегазовых компаний — включая их коммуникации, контакты, перелёты, а также деятельность аффилированных с ними фирм.
Справка
Чтобы проверить, есть/был ли у вас Regin, надо проверить наличие этих файлов в системной директории.
%SYSTEMROOT%system32nsreg1.dat
%SYSTEMROOT%system32bssec3.dat
%SYSTEMROOT%system32msrdc64.dat
Жертвы Regin, по информации «Лаборатории Касперского»:
• Операторы связи
• Государственные учреждения
• Мульти-национальные политические органы
• Финансовые учреждения
• Научно-исследовательские учреждения
До сих пор жертвами Regin были определены в 14 стран, продолжает «Лаборатория Касперского»:
• Алжир
• Афганистан
• Бельгия
• Бразилия
• Фиджи
• Германия
• Иран
• Индия
• Индонезия
• Кирибати
• Малайзия
• Пакистан
• Россия
• Сирия
В общей сложности мы насчитали 27 жертв
Напомним, что в канун Нового года вирус Regin был обнаружен на компьютере помощницы главы Германии.
Вирус мог попасть на устройство после того, как помощница подключила к рабочему ноутбуку свой личный USB-флеш-накопитель. Женщина решила загрузить на «флешку» недописанную речь для того, чтобы поработать над ней дома. Вернувшись на работу, она снова подключила накопитель к ноутбуку, после чего на экране появилось уведомление об обнаруженном вирусе. Примечательно, что днем ранее она уже подключала эту «флешку», но никаких сообщений об угрозах не появлялось, пишет Zhacker.net .
В ходе проверки 200 компьютеров в офисе Меркель следы Regin обнаружены не были. Пока неизвестно, была ли похищена какая-либо информация, хранившаяся на компьютере сотрудницы. Отметим, что Regin способен делать скриншоты, управлять компьютерной мышью, записывать пароли и восстанавливать удаленные файлы.
Источник: flb.ru