Backdoor trojanac Regin godinama korišćen za sajber špijunažu

Opisi virusa, 23.11.2014, 21:13 PM

Backdoor trojanac Regin godinama korišćen za sajber špijunažu

Stručnjaci kompanije Symantec otkrili su špijunski alat nazvan Regin koji je korišćen za sistematsku sajber špijunažu protiv brojnih ciljeva širom sveta, među kojima su bili vlade, kompanije, istraživači i pojedinci.

Backdoor trojanac Regin je kompleksan malver čija struktura pokazuje stepen tehničke osposobljenosti koja se retko viđa. Prilagodljiv i opremljen širokim spektrom mogućnosti u zavisnosti od cilja, malver onima koji ga kontrolišu pruža velike mogućnost za dugotrajnu špijunažu.

Stručnjaci Symanteca veruju da je Regin razvijan mesecima, ako ne i godinama i da malver ima neke sličnosti sa ranije otkrivenim malverima koji su nastali pod pokroviteljstvom država, pre svega sa špijunskim malverima Flame i Duqu, ali i sa čuvenim Stuxnetom, kompjuterskim crvom koji je nastao sa ciljem da se uništi iranski nuklearni program.

Regin ima desetine modula koji omogućavajući napadačima da prilagođavaju malver pojedinačnim ciljevima.

Da bi bio neprimetan, malver prolazi kroz pet faza, od kojih je svaka, sem prve, kriptovana. Prva faza pokreće domino efekat dešifrovanja i učitavanja svake sledeće faze. Svaka faza pruža malo informacija, i samo ako se analiziraju svih pet faza moguće je razumeti pretnju.

Infekcije malverom Regin su u periodu između 2008. i 2011. uočene u različitim organcizacijama, posle čega je malver iznenada povučen. Nova verzija malvera pojavila se 2013., a njeni ciljevi bili su privatne kompanije, državne institucije i istraživačke ustanove. Skoro polovina žrtava malvera su pojedinci i male firme.

Infekcije ovim malverom su u geografskom smislu veoma rasute, a malver je pronađen u Rusiji, Saudijskoj Arabiji, Meksiku, Irskoj, Indiji, Avganistanu, Iranu, Belgiji, Austriji i Pakistanu.

Kako je dolazilo do infekcija za sada nije poznato. U Symantecu veruju da su neke žrtve bile namamljene da posete lažne verzije poznatih web sajtova, tako da se malver možda instalirao preko browsera ili iskorišćavanjem ranjivosti programa. U jednom slučaju su log fajlovi pokazali da je Regin došao preko Yahoo! Instant Messengera, zahvaljujući jednom exploitu.

Regin raspolaže brojnim mogućnostima. On omogućava napadačima daljinski pristup zaraženom računaru, snimanje ekrana, preuzimanje kontrole nad mišem, krađu lozinki, nadzor nad mrežnim saobraćajem i oporavak obrisanih fajlova.

Autori malvera su uložili značajne napore da Regin ostane neprimetan što ukazuje da je on mogao biti korišćen u špijunskim operacijama koje su mogle da traju godinama. Čak i ako bi se otkrilo prisustvo malvera, bilo bi veoma teško razumeti šta on radi. U Symantecu su mogli da analiziraju malver tek nakon što su dešifrovali sve uzorke do kojih su došli istraživači. Opis pretnje u Symantecovoj bazi pretnji u kojoj se Regin nalazi pod imenom Backdoor.Trojan.GR, ukazuje da je malver detektovan i dodat bazi 12. decembra prošle godine. U kompaniji verovatno tada nisu znali o kakvoj pretnji reč, da bi tek nedavna retrospektivna analiza otkrila pravu prirodu malvera i kako se on koristio prethodnih godina.

Regin je veoma kompleksna pretnja koja je korišćena za sistematsko prikupljanje informacija. Razvoj i funkcionisanje ovog malvera zahtevaju značajno ulaganje vremena i sredstava, što ukazuje da bi iza ovog malvera mogla biti neka država. Njegov dizajn ga čini veoma podesnim za dugotrajne špijunske operacije protiv odabranih ciljeva.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

ChromeLoader je “prodoran i uporan otmičar pregledača” koji može da izmeni podešavanja veb pregledača žrtava da bi prikazao rezultat... Dalje

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Istraživači iz firme za sajber bezbednost Zscaler upozorili su na fišing sajtove koji nude lažne instalacione programe za Windows 11 a zapravo inf... Dalje

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Istraživači iz CloudSEK-a upozorili su na lažnu Windows 11 nadogradnju koja krije malver koji krade podatke iz veb pregledača i novčanika kriptov... Dalje

Gejmeri su meta novog opasnog malvera

Gejmeri su meta novog opasnog malvera

Novi malver dizajniran za krađu podataka dodat je portfoliju grupe Haskers Gang. Istraživači iz Cisco Talosa kažu da se malver, nazvan ZingoSteale... Dalje

Novi malver krade Facebook, Instagram i Twitter naloge

Novi malver krade Facebook, Instagram i Twitter naloge

Nalozi na društvenim mrežama, posebno oni verifikovani, su privlačna meta za hakere jer ih mogu koristiti za razne zlonamerne aktivnosti, uključuj... Dalje