Следы Regin ведут в 2006 год
По мнению специалистов Symantec, о вредоносной программе Regin в отрасли средств безопасности знают уже давно
В компании Symantec полагают, что вредоносная программа Regin, по-видимому разработанная государственными структурами, применялась еще восемь лет назад.
Столь продолжительный срок ее жизни лишний раз подтверждает серьезность проблем, с которыми приходится сталкиваться в борьбе с передовыми шпионскими инструментами.
Компания опубликовала 22-страничный отчет, посвященный вредоносной программе Regin. Программа эта была названа самой мощной кибершпионской платформой, настраиваемой в зависимости от типа искомых данных.
Она нацелена главным образом на телекоммуникационные компании, представителей малого бизнеса и частных лиц, при этом различные ее модули настраивались для похищения конкретных видов информации. Специалисты Symantec обнаружили около 100 объектов, зараженных Regin, в десяти странах, главным образом в России и Саудовской Аравии, а также в Мексике, Ирландии, Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане.
Первая версия Regin проявляла активность в период с 2008-го по 2011 год. Примерно год тому назад Symantec начала анализировать вторую версию Regin, пересланную одному из ее клиентов.
Но есть факты, свидетельствующие о том, что Regin работала еще в 2006 году. И имя ей придумали не в Symantec. По словам исследователя компании Лиама О'Мурчу, это название в сфере компьютерной безопасности было известно и ранее.
Коль скоро Regin появилась еще восемь лет назад и до сих пор не обезврежена, можно утверждать, что хакеры, работающие на какое-то государство, сумели добиться огромных успехов, эффективно уклоняясь от новейших средств обеспечения безопасности. Компаниям, пытающимся защитить свои данные, это не сулит ничего хорошего. Идентифицировать разработчиков Regin компании Symantec пока так и не удалось.
Прежде чем объявить о Regin во всеуслышание, компания выдержала паузу почти в год, поскольку анализ программы оказался очень сложной задачей. Работа Regin разбивается на пять этапов, выполнение каждого последующего этапа зависит от расшифровки предыдущего. Использовались также одноранговые сети – при передаче похищенных данных программа избегала обращения к централизованной командно-управляющей системе.
Точного ответа на вопрос, каким образом пользователи заражались Regin, пока нет. К настоящему времени специалистам Symantec удалось выяснить лишь, каким образом произошло заражение на одном из компьютеров. Вредоносная программа проникла на машину через Yahoo Messenger.
Возможно, ее пользователь стал жертвой социальной инженерии и перешел по ссылке, присланной ему через Messenger. Но, вероятнее всего, люди, управляющие Regin, знали о наличии уязвимости в Messenger и сумели заразить компьютер без каких-либо действий со стороны жертвы.
«Компьютерные угрозы становятся все более изощренными, – указал О'Мурчу. – И мы полагаем, что для проникновения на компьютер атакующие использовали самые передовые методы».
Особенно сильно пострадали от Regin телекоммуникационные операторы. Некоторые компании заразились этой вредоносной программой сразу в нескольких местах, находящихся в разных странах.
Похоже, атакующие сумели получить учетную информацию для подключения к базовым станциям GSM. Ведь именно к базовой станции в первую очередь обращается мобильное устройство при совершении звонка или выдаче запроса на получение данных. Похищение учетных сведений администраторов позволило хозяевам Regin менять настройки базовых станций и получать доступ к определенным данным, передаваемым через них.
В числе других целей Regin можно назвать гостиницы и предприятия общественного питания, авиакомпании, поставщиков интернет-сервисов и правительственные организации.
«Не думаю, что хозяева Regin из сферы криминала, – заметил О'Мурчу. – Скорее речь можно вести о шпионаже».