«Лаборатория Касперского» опубликовала анализ троянца Regin, который, по словам экспертов, является одной из самых опасных вредоносных киберплатформ в истории.
Как сообщают исследователи «Лаборатории Касперского», разрозненные следы Regin они встречали с 2012 года, на антивирусных сервисах периодически всплывали различные несвязанные между собой сэмплы с загадочным предназначением, некоторые из которых были созданы в 2003 году. Полноценно проанализировать атаку удалось лишь недавно.
Троянец Regin, названный так из-за того, что часть своих компонентов он хранит в реестре Windows (игра слов «in registry» – «regin»), атакует лишь самые важные цели из ограниченного списка категорий: телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и ученые, участвующие в математических и криптографических исследованиях. В частности, одной из жертв оказался знаменитый бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере сэмпл зловреда.
Исследователям так и не удалось определить способ, который применяют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было обнаружено никаких эксплойтов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права администратора. В некоторых случаях заражены были контроллеры домена Windows-сети.
Первый этап заражения заключается в проникновении на компьютер исполняемого файла, видов которого обнаружено очень много. Такое многообразие, по всей видимости, необходимо для затруднения обнаружения программы антивирусными инструментами. Другие компоненты вредоносной платформы, загружаемые после этого, хранятся напрямую на жестком диске (для 64-битных систем), или в расширенных атрибутах файловой системы NTFS (в 32-битных системах).
Программы второго этапа заражения обладают множеством функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальном файловым системам, и базовые функции связи и хранения модулей.
Исследователями было выявлено два основных направления работы Regin: сбор информации и обеспечение проведения атак других типов. В большинстве случаев злоумышленники, стоящие за Regin, крадут письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки.
Жертв Regin удалось обнаружить в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, России и Сирии.
Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.
|
Главная 
