«Правительственный» вирус Regin поражает телеком, энергетику и авиаиндустрию в России и Саудовской Аравии — не забывая о «простых» гражданах

«Правительственный» вирус Regin поражает телеком, энергетику и авиаиндустрию в России и Саудовской Аравии — не забывая о «простых» гражданах

Новости

Компания кибер-безопасности Symantec в воскресенье рассказала о новом вредоносном ПО, которое собирает информацию о лицах, компаниях и государственных учреждениях без их ведома. Новая вредоносная программа называется и шпионит за людьми в различных отраслях промышленности. Почему? Исследователи точно не знают.

Regin относится к вирусам, созданным для шпионажа и сбора данных (иногда такие программы называют «spyware»). Его цель и происхождение до сих пор неясны, говорит Symantec, но исследователи полагают, что программа создана каким-то государством.

«Мы считаем, что Regin используется в основном для шпионажа»,- рассказал Лиам О’ Мерчи, исследователь вопросов безопасности в Symantec. «Мы видим, что она направлена и на компании, и частных лиц. Конечной целью является прослушивание телефонных звонков или что-то подобное. Regin нацелена на людей и распространение атаки, чтобы найти именно то, что они ищут. Все эти вещи заставляют думать, что вирус написан правительством».

Symantec рассказал, что Regin (произносится «реджен») контролирует свои цели на таком уровне сложности, который редко можно увидеть. Провайдеры и операторы связи составляют большую часть изначально зараженных, говорят исследователи. Regin от провайдеров перенаправляет свою активность на отдельных лиц, представляющих интерес в гостиничной, энергетической, авиационной промышленности и научных работников, которые обслуживаются этими провайдерами. Regin использует зараженные компании в качестве плацдарма для получения доступа к еще большему количеству персональных данных. После того, как ПО получает доступ, оно может дистанционно управлять клавиатурой, мониторить интернет-активности и восстанавливать удаленные файлы.

Более половины наблюдаемых нападений направлены на Россию и Саудовскую Аравию, продолжает Symantec. Остальные разбросаны по всей Европе, Центральной Америке, Африке и Азии. Первоначальная инфекция может поступать из широкого круга источников — копии популярных веб-сайтов, зараженные дистрибутивы веб-браузеров, USB-накопители, подключаемые к зараженным ОС.

fig3-countries

Атака Regin состоит из пяти этапов. Она начинается с первоначального «дропа», которые принято называть «троянскими конями» (или «бэкдорами»), что позволяет ему использовать уязвимость, оставаясь при этом незамеченным. Первый этап развертывает загрузчик, который готовит и выполняет следующий этап. Второй этап делает также призван усложнить обнаружение вируса. Третий и четвертый этапы строят фреймворк для пятой и заключительной стадии — так называемой «полезной нагрузки». Здесь вирус может получить контроль над компьютером и переходить к новым жертвам.

Каждый этап готовит и выполняет следующий перед развертыванием фреймворка. Распределенная структура Regin делает затрудняет его идентификацию для исследователей кибербезопасности без сбора информации о всех пяти этапах.

fig1-architecture

Вредоносная программа состоит из системы настраиваемых модулей и может собирать различные типы информации жертв. Например, одна атака Regin может захватить пароль от компьютера портье, в то время как другое нападение может получить удаленный контроль над клавиатурой другого компьютера для неизвестных целей. Каждый модуль настраивается для одной задачи или системы, что делает обнаружение и предотвращение всеобъемлющей атаки Regin особенно трудным.

«Одна из проблем с анализом в том, что у нас нет всех компонентов вируса», — пояснил О’ Мерчи. «Вы можете исследовать только модули, установленные у этой конкретной жертвы. Но мы знаем, что есть гораздо больше модулей, чем известные нам. Кроме того, вирус кодируется очень продвинутым способом, чтобы оставить наименьший след. Все следы вируса зашифрованы. Каждая часть зависит от наличия всех деталей».

Такая сложность, как правило, связанна с разработкой ПО на государственном уровне — или при господдержке — считают в Symantec. Лишь несколько вредоносных программ на сегодняшний день продемонстрировали такую ​​изящность. В 2012 году вредоносная программа Flamer использовала ту же модульную систему для поражения целей на Западном берегу Палестины, в  Венгрии, Иране, Ливане и других странах. Многоступенчатый паттерн атаки Regin функционирует аналогично вредоносной программе Duqu и ее потомку Stuxnet , которые ответствены за нарушение работы иранских ядерных объектов в 2010 году. 

«Мы часто говорим, что Stuxnet открыл ящик Пандоры»,- говорит О’ Мерчи. «Теперь знаем о намного более страшных государственных вредоносных программах, чем раньше. Они гораздо лучше развиты, встроены в большее число организаций, чем мы когда-либо видели, более организованы, чем когда-либо, и у них больше возможностей».

Что отличает Regin от остальных вирусов? Вместо того, чтобы атаковать только высокоприоритетные цели, он атакует их все в попытке собрать воедино контекстную информацию. Из 9% атак Regin, обнаруженных в индустрии гостеприимства, 4% направлены на компьютеры обслуживающего персонала низкого уровня, предположительно, для сбора подобной информации.

«Обычный человек должен быть в курсе», — считает О’ Мерчи. «Многие из инфицированных ПК — не конечная цель. Они являются третьими сторонами, обеспечивающими некоторую дополнительную информацию, чтобы добраться до конечной цели. Многие люди думают: «У меня нет ничего важного, зачем кому-то нужны данные на моем компьютере? На самом деле они тоже являются целями».

"Правительственный" вирус Regin поражает телеком, энергетику и авиаиндустрию в России и Саудовской Аравии - не забывая о "простых" гражданах by

Возможно, вас также заинтересует:

При копировании материалов ссылка обязательна.