Regin nov zelo dodelan vladni vohunski program
Matej Huš
25. nov 2014 ob 09:07:03
Na plano prihajajo podrobnosti o novem kosu škodljive programske opreme z imenom Regin, ki deluje zelo podobno kot Stuxnet, Flame, Duqu in drugi dovršeni vladni trojanci. Regin je bil aktiven vsaj od leta 2008, sodeč po kodi pa so ga pisali že leta 2003. V tem času je napadal najrazličnejše ustanove, od bolnišnic in raziskovalnih ustanov do vladnih agencij, podjetij in bank, ter kradel podatke, ki so mu prišli pod roko. Tuji mu niso bili niti zanimanja vedni posamezniki, tako da je napadel Jeana Jacquesa Quisquaterja. Loteval se je računalnikov z operacijskim sistemom Windows.
Regin je novi stuxnetovski generaciji škodljive programske opreme soroden po kakovosti in obsegu izdelave ter prikritih taktikah za zbiranje podatkov, zaradi česar raziskovalci predvidevajo, da so ga napisali pod pokroviteljstvom ene ali več zahodnih vlad. The Intercept trdi, da gre za maslo ZDA in Velike Britanije. Regin naj bi bil odgovoren za napad na belgijski telekom in vohunjenje po sistemih EU, o čemer smo pisali lani. Kdorkoli ga je že skuhal, si je za to vzel precej časa in ogromno sredstev, saj so sodeč po kodi Regin pisali več mesecev ali celo let.
Regin je imel dvojno nalogo - zbiral je podatke o okuženem računalniku ter ga pripravljal za nadaljnje napade. Zgrajen je izrazito modularno, zato lahko napadalci preprosto menjajo in prilagajajo njegovo funkcionalnost ter ga s tem opremijo za napad na točno določeno tarčo. Odkritju se izogiba na več načinov, med drugim s stopenjsko zgradbo. Vidna je le prva stopnje, nadaljnje štiri pa so šifrirane in jih lahko odklene in zažene šele predhodna stopnja. Skrival se je tudi z uporabo lastnega šifriranega navideznega datotečnega sistema (EVFS) ter prikrivanjem komunikacije z nadzornimi strežniki. Za zdaj so jih izsledili na Tajvan, v Indijo in Belgijo.
Približno polovica okuženih računalnikov je pripadala ponudnikom dostopa do interneta. Geografsko je Regin najbolj razširjen v Rusiji, Savdski Arabiji in na Irskem. Našli so ga na približno sto računalnikih, ki pripadajo 27 ustanovam (zanimivo, tudi na Fidžiju in otočju Kiribati), a povsem mogoče je, da gre zgolj za vrh ledene gore. Zanimivo je, da Regin aktivno deloval med leti 2008-2011, potem pa se je do lanskega leta potuhnil. Ni potrjeno, da je bil aktiven pred letom 2008, čeprav časovni žigi kažejo, da je nastajal že v letu 2003.
Posebno zaskrbljenost zbujajo okužbe baznih postaj za GSM-omrežje, ki jih je povzročil Regin pri vsaj enem operaterju. Tam je zbiral dnevniške datoteke o delovanju postaje.
Regin so preiskovali Symantec, F-Secure in SecureList, a nekateri odgovori še vedno manjkajo. Tako še vedno ni jasno, kakšen je bil vektor napada.