Backdoor trojanac Regin godinama korišćen za sajber špijunažu

Opisi virusa, 23.11.2014, 21:13 PM

Backdoor trojanac Regin godinama korišćen za sajber špijunažu

Stručnjaci kompanije Symantec otkrili su špijunski alat nazvan Regin koji je korišćen za sistematsku sajber špijunažu protiv brojnih ciljeva širom sveta, među kojima su bili vlade, kompanije, istraživači i pojedinci.

Backdoor trojanac Regin je kompleksan malver čija struktura pokazuje stepen tehničke osposobljenosti koja se retko viđa. Prilagodljiv i opremljen širokim spektrom mogućnosti u zavisnosti od cilja, malver onima koji ga kontrolišu pruža velike mogućnost za dugotrajnu špijunažu.

Stručnjaci Symanteca veruju da je Regin razvijan mesecima, ako ne i godinama i da malver ima neke sličnosti sa ranije otkrivenim malverima koji su nastali pod pokroviteljstvom država, pre svega sa špijunskim malverima Flame i Duqu, ali i sa čuvenim Stuxnetom, kompjuterskim crvom koji je nastao sa ciljem da se uništi iranski nuklearni program.

Regin ima desetine modula koji omogućavajući napadačima da prilagođavaju malver pojedinačnim ciljevima.

Da bi bio neprimetan, malver prolazi kroz pet faza, od kojih je svaka, sem prve, kriptovana. Prva faza pokreće domino efekat dešifrovanja i učitavanja svake sledeće faze. Svaka faza pruža malo informacija, i samo ako se analiziraju svih pet faza moguće je razumeti pretnju.

Infekcije malverom Regin su u periodu između 2008. i 2011. uočene u različitim organcizacijama, posle čega je malver iznenada povučen. Nova verzija malvera pojavila se 2013., a njeni ciljevi bili su privatne kompanije, državne institucije i istraživačke ustanove. Skoro polovina žrtava malvera su pojedinci i male firme.

Infekcije ovim malverom su u geografskom smislu veoma rasute, a malver je pronađen u Rusiji, Saudijskoj Arabiji, Meksiku, Irskoj, Indiji, Avganistanu, Iranu, Belgiji, Austriji i Pakistanu.

Kako je dolazilo do infekcija za sada nije poznato. U Symantecu veruju da su neke žrtve bile namamljene da posete lažne verzije poznatih web sajtova, tako da se malver možda instalirao preko browsera ili iskorišćavanjem ranjivosti programa. U jednom slučaju su log fajlovi pokazali da je Regin došao preko Yahoo! Instant Messengera, zahvaljujući jednom exploitu.

Regin raspolaže brojnim mogućnostima. On omogućava napadačima daljinski pristup zaraženom računaru, snimanje ekrana, preuzimanje kontrole nad mišem, krađu lozinki, nadzor nad mrežnim saobraćajem i oporavak obrisanih fajlova.

Autori malvera su uložili značajne napore da Regin ostane neprimetan što ukazuje da je on mogao biti korišćen u špijunskim operacijama koje su mogle da traju godinama. Čak i ako bi se otkrilo prisustvo malvera, bilo bi veoma teško razumeti šta on radi. U Symantecu su mogli da analiziraju malver tek nakon što su dešifrovali sve uzorke do kojih su došli istraživači. Opis pretnje u Symantecovoj bazi pretnji u kojoj se Regin nalazi pod imenom Backdoor.Trojan.GR, ukazuje da je malver detektovan i dodat bazi 12. decembra prošle godine. U kompaniji verovatno tada nisu znali o kakvoj pretnji reč, da bi tek nedavna retrospektivna analiza otkrila pravu prirodu malvera i kako se on koristio prethodnih godina.

Regin je veoma kompleksna pretnja koja je korišćena za sistematsko prikupljanje informacija. Razvoj i funkcionisanje ovog malvera zahtevaju značajno ulaganje vremena i sredstava, što ukazuje da bi iza ovog malvera mogla biti neka država. Njegov dizajn ga čini veoma podesnim za dugotrajne špijunske operacije protiv odabranih ciljeva.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje