Regin (zlonamerna programska oprema)

Regin (tudi Prax ali WarriorPride) je zlonamerna programska oprema, ki je sposobna nadzorovati GSM omrežja, poleg drugih »standardnih« vohunskih nalog. Razkrili so ga Kaspersky Lab, Symantec in The Intercept novembra 2014. Kaspersky Lab je najprej opazil Regin jeseni 2012, ampak prvi vzorci le-tega segajo v leto 2003.^[1]

Po reviji Die Welt so varnostni strokovnjaki pri Microsoftu poimenovali »Regin« v letu 2011, po zvitem nordijskem pritlikavcu Reginu. Kasneje so analitiki odkrili, da je vohunsko programje povezano z ameriško obveščevalno agencijo NSA in njeno britansko ustreznico GCHQ.^[2]^[3]^[4]

Delovanje uredi

Regin je orodje, sposobno okuženja in ogrožanja celotnih omrežij, ne le posameznih osebnih računalnikov pravijo varnostna podjetja Symantec in Kaspersky Labs.

To ni le virus, temveč tudi orodje, ki je lahko uporabljeno za različne namene, odvisne od potreb napadalcev. Ti lahko zbirajo gesla, pridobivajo izbrisane datoteke in celo prevzamejo celotna omrežja in infrastrukture.

Sestavljen je iz več različnih delov in se odvija v petih različnih fazah, kar pomeni, da ga je zelo težko odkriti. V eni od svojih faz, se Regin izdaja kot zakonita programska oprema od Microsofta, tako zavede žrtve in se izogne odkritju.

Faze okužbe:

namestitev Regina na računalnik od tarče,
nalaganje gonilnikov,
stiskanje, šifriranje, povezovanje,
uporaba EVFS (šifriranega virtualnega datotečnega sistema)
glavne koristi in podatkovne datoteke

Napadalci Regin napotijo v omrežje žrtve za popolno daljinsko upravljanje na vseh možnih ravneh. Z njo lahko napadalci zbirajo uporabniška imena, kradejo lahko vse datoteke iz sistema, izvlečejo elektronsko pošto in vse podatke iz omrežja.^[1]

Pri Symantecu so prepričani, da se virus prenese z obiskom osebe na ponarejeno spletno stran, ki je replika prave (po navadi znane, npr: Yahoo! Instant Messeneger) spletne strani ali pa z uporabljanjem različnih aplikacij.^[5]

Za razvoj in delovanje Regina je bil potreben velik vložek časa in denarja. Njegova oblika omogoča zelo dobro in dolgoročno nadzorovanje tarč.^[6]

Regin uporablja veliko zapletenih metod skrivanja in s tem naredi raziskovanje o njem zelo zahtevno.

Glede na njegovo kompleksnost, raziskovalci Symantec-a pravijo, da ga je sestavilo več različnih avtorjev morda čez razpon mesecev ali tudi let. Nihče ga še ne pozna v celoti, pravi Sean Sullivan, raziskovalec pri finskem varnostnem podjetju F-Secure. Primerjal ga je z na novo odkritim dinozavrom, vsi so odkrili različne kosti, vedo približno kako deluje ampak nimajo še celotnega okostja.

Žrtve uredi

Med okuženimi sistemi po celem svetu, jih je bilo 28 % v Rusiji, 24 % v Saudovi Arabiji, 9 % v Mehiki in na Irskem, 5 % v Indiji, Afganistanu, Iranu, Belgiji, Avstriji in v Pakistanu.

Žrtve Regina spadajo pod naslednje kategorije:

telekomunikacijski operaterji,
državne ustanove,
multi-nacionalni politični organi,
finančne institucije,
raziskovalne ustanove,
posamezniki.

Število osebnih računalnikov okuženih z Regin-om je zelo veliko veliko.^[7]

Do sedaj sta znani dve glavni nalogi napadalcev:

zbiranje podatkov,
omogočanje napadov drugih vrst na sisteme.

Zaščita uredi

Strokovnjaki priporočajo da je za minimalne možnosti okužbe z Reginom potrebno:

zagotoviti, da je trenutno različica katerega koli večjega operacijskega sistema in programske opreme podprta,
preveriti, ali je antivirusni program posodobljen in ga redno uporabiti za preverjanje sistema,
Posodobiti spletne brskalnike (Internet Explorer, Chrome, Firefox, safari),
Biti pozoren na sumljive zavihke, ki se odprejo med brskanjem in ne odpirati reklam,
Redno preveriti naloženo programsko opremo in se pozanimati za vse predmete, ki se ne zdijo na pravem mestu.

Ti nasveti ne preprečijo vsake morebitne grožnje, vendar pa se možnost okužbe z Reginom in podobnih zadev zmanjša.^[5]

Sklici uredi

↑ ^1,0 ^1,1 »The Regin Platform«. Kaspersky.
↑ »Top German official infected by highly advanced spy trojan with NSA ties«. 26. oktober 2015.
↑ Perlroth, Nicole (24. november 2014). »Symantec Discovers 'Regin' Spy Code Lurking on Computer Networks«. New York Times. Pridobljeno 25. novembra 2014.
↑ Gallagher, Ryan (13. december 2014). »The Inside Story of How British Spies Hacked Belgium's Largest Telco«. The Intercept.
↑ ^5,0 ^5,1 »The Regin malware threat: Real protections against a mysterious danger«. PCWorld.
↑ »Regin: Top-tier espionage tool enables stealthy surveillance«. Symantec.
↑ »Regin: nation-state ownage of GSM networks«. SecureList. Kaspersky.

[Kaspersky-1] 1,0 ^1,1 »The Regin Platform«. Kaspersky.

[2] »Top German official infected by highly advanced spy trojan with NSA ties«. 26. oktober 2015.

[NYT-20141124-NP-3] Perlroth, Nicole (24. november 2014). »Symantec Discovers 'Regin' Spy Code Lurking on Computer Networks«. New York Times. Pridobljeno 25. novembra 2014.

[4] Gallagher, Ryan (13. december 2014). »The Inside Story of How British Spies Hacked Belgium's Largest Telco«. The Intercept.

[PCW-5] 5,0 ^5,1 »The Regin malware threat: Real protections against a mysterious danger«. PCWorld.

[6] »Regin: Top-tier espionage tool enables stealthy surveillance«. Symantec.

[7] »Regin: nation-state ownage of GSM networks«. SecureList. Kaspersky.

[1]

[2]

[3]

[4]

[5]

[6]

[7]