Регин (вредоносное ПО)

Regin (также известный как Prax или QWERTY ) — это сложный набор вредоносных программ и инструментов для взлома, США используемый Агентством национальной безопасности (АНБ) и его британским коллегой, Штаб-квартирой правительственных коммуникаций (GCHQ). ^[1]^[2]^[3] Впервые о нем публично сообщили «Лаборатория Касперского» , Symantec и The Intercept в ноябре 2014 года. ^[4]^[5] Вредоносная программа нацелена на конкретных пользователей компьютеров под управлением Microsoft Windows и связана с американским агентством по сбору разведывательной информации АНБ и его британским аналогом GCHQ . ^[6]^[7]^[8] The Intercept предоставил для скачивания образцы Regin, включая вредоносное ПО, обнаруженное у бельгийского телекоммуникационного провайдера Belgacom . ^[5] «Лаборатория Касперского» утверждает, что впервые узнала о Regin весной 2012 года, но некоторые из самых ранних образцов датируются 2003 годом. ^[9] (Имя Regin впервые встречается на сайте VirusTotal 9 марта 2011 года. ^[5]Среди компьютеров, зараженных Regin по всему миру, 28 процентов находились в России , 24 процента в Саудовской Аравии , по 9 процентов в Мексике и Ирландии и по 5 процентов в Индии , Афганистане , Иране , Бельгии , Австрии и Пакистане . ^[10]

Касперский заявил, что основными жертвами вредоносного ПО являются частные лица, малый бизнес и телекоммуникационные компании . Regin сравнивают со Stuxnet, и считается, что он был разработан «хорошо обеспеченными ресурсами командами разработчиков», возможно, западным правительством, как целевой многоцелевой инструмент сбора данных. ^[11]^[12]^[13]

По данным Die Welt , эксперты по безопасности Microsoft дали ему имя «Regin» в 2011 году, в честь хитрого норвежского карлика Регина . ^[14]

Операция

Regin использует модульный подход, позволяющий загружать функции, которые точно соответствуют поставленной цели, обеспечивая возможность индивидуального шпионажа. Конструкция делает его очень подходящим для постоянных и долгосрочных операций массового наблюдения за целями. ^[15]^[16]

Regin скрытен и не хранит несколько файлов в зараженной системе; вместо этого он использует свою собственную зашифрованную виртуальную файловую систему (EVFS), полностью содержащуюся в одном файле с безобидным для хоста именем, внутри которого файлы идентифицируются только числовым кодом, а не именем. EVFS использует вариант шифрования редко используемого шифра RC5 . ^[16] Regin обменивается данными через Интернет с помощью ICMP / ping , команд, встроенных в файлы cookie HTTP , а также пользовательских протоколов TCP и UDP с сервером управления и контроля , который может контролировать операции, загружать дополнительные полезные данные и т. д. ^[10]^[12]

Идентификация и наименование

Symantec заявляет, что и она, и Касперский идентифицировали вредоносное ПО как Backdoor.Regin . ^[10] Большинство антивирусных программ, включая Касперского (по состоянию на октябрь 2015 г.), НЕ идентифицируют образец Regin, выпущенный The Intercept, как вредоносное ПО. ^[17] 9 марта 2011 г. Microsoft добавила соответствующие записи в свою энциклопедию вредоносных программ; ^[18]^[19] еще два варианта: Regin.B и Regin.C позже были добавлены называет 64-битные варианты Regin Prax.A и Prax.B. . Microsoft, похоже , Записи Microsoft не содержат никакой технической информации. ^[5] И Касперский, и Symantec опубликовали официальные документы с полученной ими информацией об этом вредоносном ПО. ^[12]^[13]

Известные атаки и создатель вредоносного ПО

Немецкий новостной журнал Der Spiegel сообщил в июне 2013 года, что разведка Агентства национальной безопасности США (АНБ) проводила онлайн-слежку как за гражданами Европейского Союза (ЕС), так и за учреждениями ЕС. Информация получена из секретных документов, полученных бывшим сотрудником АНБ Эдвардом Сноуденом . И Der Spiegel , и The Intercept цитируют секретный документ АНБ от 2010 года, в котором говорится, что в том году оно совершило кибератаки , не уточняя, какое вредоносное ПО использовалось, против дипломатических представительств ЕС в Вашингтоне, округ Колумбия , и его представительств в Организации Объединенных Наций . ^[5]^[20] Признаки, идентифицирующие программное обеспечение, используемое как Regin, были обнаружены следователями на зараженных машинах.

The Intercept сообщил, что в 2013 году британский GCHQ атаковал Belgacom , крупнейшую телекоммуникационную компанию Бельгии. ^[5] Эти атаки могли привести к тому, что Регин попал в поле зрения охранных компаний. На основании анализа, проведенного фирмой по информационной безопасности Fox IT, в ноябре 2014 года Der Spiegel сообщил, что Regin является инструментом спецслужб Великобритании и США. ИТ-отдел Fox обнаружил Regin на компьютерах одного из своих клиентов, и согласно их анализу части Regin упоминаются в каталоге АНБ ANT под названиями «Straitbizarre» и «Unitedrake». Fox IT не назвала имя заказчика, но Der Spiegel упомянул, что среди клиентов Fox IT есть Belgacom, и процитировал главу Fox IT Рональда Принса, который заявил, что им не разрешено говорить о том, что они нашли в сети Belgacom. ^[1]

В декабре 2014 года немецкая газета Bild сообщила, что Регина нашли на USB-накопителе , которым пользовалась сотрудница аппарата канцлера Ангелы Меркель . Проверка всех ноутбуков с высоким уровнем безопасности в канцелярии Германии не выявила дополнительных заражений. ^[21]

Regin использовался в октябре и ноябре 2018 года для взлома научно-исследовательского подразделения Яндекса . ^[22]

См. также

Ссылки

^ Jump up to: ^а ^б Кристиан Штекер, Марсель Розенбах «Шпионское программное обеспечение: супертроян Regin — секретное оружие АНБ», Der Spiegel, 25 ноября 2014 г.
^ «Эксперты разоблачают трояна Regin как инструмент АНБ» . Шпигель.де . Проверено 9 ноября 2021 г.
^ Зеттер, Ким. «Исследователи обнаружили правительственный шпионский инструмент, используемый для взлома телекоммуникаций и бельгийского криптографа» . Проводной . ISSN 1059-1028 . Проверено 22 февраля 2022 г.
^ «Регин раскрыт» . Лаборатория Касперского. 24 ноября 2014 года . Проверено 24 ноября 2014 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж Маркиз-Буаре, Морган; Гварниери, Клаудио; Галлахер, Райан (24 ноября 2014 г.). «Секретное вредоносное ПО в атаке Европейского Союза связано с разведкой США и Великобритании» . Перехват.
^ «Высший немецкий чиновник заражен высокоразвитым шпионским трояном, связанным с АНБ» . 26 октября 2015 г.
^ Перлрот, Николь (24 ноября 2014 г.). «Symantec обнаруживает шпионский код Regin, скрывающийся в компьютерных сетях» . Нью-Йорк Таймс . Проверено 25 ноября 2014 г.
^ Галлахер, Райан (13 декабря 2014 г.). «Внутренняя история того, как британские шпионы взломали крупнейшую телекоммуникационную компанию Бельгии» . Перехват.
↑ Касперский:Regin: вредоносная платформа, способная шпионить за сетями GSM , 24 ноября 2014 г.
^ Jump up to: ^а ^б ^с «Регин: Высококлассный шпионский инструмент обеспечивает скрытное наблюдение» . Симантек. 23 ноября 2014 года . Проверено 25 ноября 2014 г.
^ «Новости BBC — Regin, новая ошибка компьютерного шпионажа, обнаруженная Symantec» . Новости Би-би-си . 23 ноября 2014 года . Проверено 23 ноября 2014 г.
^ Jump up to: ^а ^б ^с «Белая книга Regin» (PDF) . Симантек. Архивировано из оригинала (PDF) 7 сентября 2019 года . Проверено 23 ноября 2014 г.
^ Jump up to: ^а ^б «Белая книга Regin» (PDF) . Лаборатория Касперского . Проверено 24 ноября 2014 г.
^ Бенедикт Фюст (24 ноября 2014 г.). «Компьютерный вирус, столь же мощный, как и все предыдущие» . Мир . Архивировано из оригинала 28 ноября 2014 года.
^ «Вредоносное ПО Regin — спонсируемый государством инструмент шпионажа, нацеленный на правительство» . The Hacking Post — последние новости о хакерстве и обновления безопасности . Архивировано из оригинала 18 февраля 2017 г. Проверено 24 ноября 2014 г.
^ Jump up to: ^а ^б «АНБ, GCHQ или оба стоят за вредоносным ПО Regin, подобным Stuxnet?» . scmagazineuk.com. 24 ноября 2014 года . Проверено 25 ноября 2014 г.
^ Virustotal: Коэффициент обнаружения: 21/56.
^ Центр защиты от вредоносных программ Microsoft, нажмите кнопку «Энциклопедия вредоносных программ».
^ Центр защиты Microsoft: Троян:WinNT/Regin.A
^ Пойтрас, Лаура; Розенбах, Марсель; Шмид, Фиделиус; Старк, Хольгер (29 июня 2013 г.). «Атаки из Америки: АНБ шпионило за офисами Евросоюза» . Дер Шпигель.
^ «Правительство Германии отрицает, что стало жертвой кибератаки» . Немецкая волна . 29 декабря 2014 г.
^ «Западная разведка взломала российский Google Яндекс, чтобы шпионить за аккаунтами» . Рейтер. 27 июня 2019 г. Архивировано из оригинала 29 июня 2019 г.

[nsa-und-gchq-1] Jump up to: ^а ^б Кристиан Штекер, Марсель Розенбах «Шпионское программное обеспечение: супертроян Regin — секретное оружие АНБ», Der Spiegel, 25 ноября 2014 г.

[2] «Эксперты разоблачают трояна Regin как инструмент АНБ» . Шпигель.де . Проверено 9 ноября 2021 г.

[3] Зеттер, Ким. «Исследователи обнаружили правительственный шпионский инструмент, используемый для взлома телекоммуникаций и бельгийского криптографа» . Проводной . ISSN 1059-1028 . Проверено 22 февраля 2022 г.

[news-4] «Регин раскрыт» . Лаборатория Касперского. 24 ноября 2014 года . Проверено 24 ноября 2014 г.

[intercept20041124-5] Jump up to: ^а ^б ^с ^д ^и ^ж Маркиз-Буаре, Морган; Гварниери, Клаудио; Галлахер, Райан (24 ноября 2014 г.). «Секретное вредоносное ПО в атаке Европейского Союза связано с разведкой США и Великобритании» . Перехват.

[6] «Высший немецкий чиновник заражен высокоразвитым шпионским трояном, связанным с АНБ» . 26 октября 2015 г.

[NYT-20141124-NP-7] Перлрот, Николь (24 ноября 2014 г.). «Symantec обнаруживает шпионский код Regin, скрывающийся в компьютерных сетях» . Нью-Йорк Таймс . Проверено 25 ноября 2014 г.

[8] Галлахер, Райан (13 декабря 2014 г.). «Внутренняя история того, как британские шпионы взломали крупнейшую телекоммуникационную компанию Бельгии» . Перехват.

[9] Касперский:Regin: вредоносная платформа, способная шпионить за сетями GSM , 24 ноября 2014 г.

[symantecblog-10] Jump up to: ^а ^б ^с «Регин: Высококлассный шпионский инструмент обеспечивает скрытное наблюдение» . Симантек. 23 ноября 2014 года . Проверено 25 ноября 2014 г.

[bbc-11] «Новости BBC — Regin, новая ошибка компьютерного шпионажа, обнаруженная Symantec» . Новости Би-би-си . 23 ноября 2014 года . Проверено 23 ноября 2014 г.

[whitepapers-12] Jump up to: ^а ^б ^с «Белая книга Regin» (PDF) . Симантек. Архивировано из оригинала (PDF) 7 сентября 2019 года . Проверено 23 ноября 2014 г.

[whitepaperk-13] Jump up to: ^а ^б «Белая книга Regin» (PDF) . Лаборатория Касперского . Проверено 24 ноября 2014 г.

[14] Бенедикт Фюст (24 ноября 2014 г.). «Компьютерный вирус, столь же мощный, как и все предыдущие» . Мир . Архивировано из оригинала 28 ноября 2014 года.

[15] «Вредоносное ПО Regin — спонсируемый государством инструмент шпионажа, нацеленный на правительство» . The Hacking Post — последние новости о хакерстве и обновления безопасности . Архивировано из оригинала 18 февраля 2017 г. Проверено 24 ноября 2014 г.

[scmagazine-16] Jump up to: ^а ^б «АНБ, GCHQ или оба стоят за вредоносным ПО Regin, подобным Stuxnet?» . scmagazineuk.com. 24 ноября 2014 года . Проверено 25 ноября 2014 г.

[17] Virustotal: Коэффициент обнаружения: 21/56.

[18] Центр защиты от вредоносных программ Microsoft, нажмите кнопку «Энциклопедия вредоносных программ».

[19] Центр защиты Microsoft: Троян:WinNT/Regin.A

[spiegel-20] Пойтрас, Лаура; Розенбах, Марсель; Шмид, Фиделиус; Старк, Хольгер (29 июня 2013 г.). «Атаки из Америки: АНБ шпионило за офисами Евросоюза» . Дер Шпигель.

[21] «Правительство Германии отрицает, что стало жертвой кибератаки» . Немецкая волна . 29 декабря 2014 г.

[MoscowTimes-22] «Западная разведка взломала российский Google Яндекс, чтобы шпионить за аккаунтами» . Рейтер. 27 июня 2019 г. Архивировано из оригинала 29 июня 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]