Hjem > Cyber ​​Nyheder > Regin Malware – Meget avancerede Nation State Spionage Tool
CYBER NEWS

Verizon Malware – Meget avancerede Nation State Spionage Tool

Forskere med Symantec har identificeret en ny meget avanceret spionage malware, eftersynkroniseret Regin, anvendes i angreb på talrige internationale mål, lige fra privatpersoner til virksomheder, og regeringer. Graden af ​​teknisk kompetence vises af Regin kan sjældent set, ifølge eksperterne hos Symantec. Deres forskning peger på, at Regin kan være en af ​​de vigtigste "cyber spionage værktøjer, der anvendes af en nationalstat."

Regin platform, Moduler, og værktøjer

Regin er en platform med mange moduler, i stand til at beslaglægge fuld fjernbetjening af målet netværk på alle mulige niveauer. Modular platforme som Flame og The Mask / Weevel have opdaget før, men Regin bruger en etapevis loading teknik, der minder om den Duqu / Stuxnet familie, ifølge Symantecs hold. Med hensyn til funktionalitet, design af platformen eller fleksibilitet Regin er langt mere kompleks end Stuxnet og Flame.

En af de mere overbevisende moduler giver Regin til at overvåge GSM basisstationer controllere. Eksperter med Kaspersky Lab rapporterer, at i april 2008, angriberne fik deres hænder på de administrative loginoplysninger som tillod dem at “manipulere” et GSM-net i et mellemøstligt land. Eksperterne angav ikke, hvilken en nøjagtig. Under fuld adgang til basen controllere, angriberne er i stand til at omdirigere opkald eller endda lukke hele mobilnet.

Regin indeholder forskellige værktøjer og bruger en meget snigende kommunikation metode til at styre de berørte net. Det involverer de ofre organisationer kommunikerer via et peer-to-peer-netværk.

De inficerede maskiner kommunikerer via HTTP og Windows netværksforbindelser. Dette gør det muligt forfatterne bag Regin til at grave dybt ind i målrettede netværk, undgå luftspalter, og styre trafik til C&C server for at forblive uopdaget.

Standard kapaciteter Regin omfatte et par RAT funktioner, lignende:

  • Stjæle adgangskoder
  • Overvågning netværkstrafik
  • Gendannelse slettede filer
  • Optagelse af screenshots
  • Få kontrol over punkt-og-klik-funktioner
  • Etaperne i Regin

    Regin er en flertrins malware og alle stadier undtagen den første er skjult og krypteret. Ifølge rapporten udgivet af Symantec “, de indledende faser involverer installation og konfiguration af truslen interne tjenester. De senere stadier bringe Regin vigtigste nyttelast i spil. De mest interessante etaper er de eksekverbare og datafiler gemt i Stages 4 og 5. Den indledende fase 1 driver er den eneste klart synligt kode på computeren. Alle andre etaper gemmes som krypterede data klatter, som en fil eller inden for en ikke-traditionel fil opbevaring område som registreringsdatabasen, Ekstra attributter eller rå sektorer i slutningen af ​​disken.”
    Regin-diagram-6-stages
    Stage One – Dette er den eneste eksekverbar fil, der vises i systemet af offeret.

    Fase - Denne fase har mange formål. Det kan fjerne infektionen fra kompromitteret system, hvis det bliver sådanne instrukser i Stage 3. I denne fase, en markør fil oprettes som tillader inficerede maskine kan identificeres.

    Tredje fase – Denne fase kan kun eksistere på 32bit systemer. På 64bit systemer afsenderen er indlæst direkte, gør den tredje fase unødvendig.

    Stage Four – Afsenderen. Det er brugeren-mode kerne af rammerne og formentlig den mest komplicerede enkelt modul i hele platformen. Den afsender er ansvarlig for de mest komplekse opgaver på platformen, Ligesom grundlæggende kommunikation, transport sub-rutiner, opbevaring funktioner, giver en API for at få adgang virtuelle filsystemer.

    Kaspersky Lab indeholder detaljerede oplysninger om hvert trin i deres papir på Regin malware.

    Regins distributionsmetode er stadig uklart

    Forskerne er stadig ikke i stand til at bestemme, hvordan det målrettede computeren bliver i første omgang inficeret med Regin. Hidtil, ingen konkrete zero-day exploits eller andre metoder er blevet bekræftet. Det er meget muligt, at angriberne bruge en række indledende angrebsvektorer. Regin har minimum en halv snes forskellige Exfiltration muligheder.

    Plausible muligheder er et link, et drive-by, eller en eksekverbar sendes i en e-mail. Symantec eksperter mistanke om, at dropper på Stage 0 er formentlig aldrig bopæl på det angrebne maskine.

    Regin målsætninger

    Forskere rapporterer, at Regin har været anvendt i 10 lande. De vigtigste mål synes at være Rusland og Saudi-Arabien, men spor af infektionen er blevet påvist i Indien, Irland, Afghanistan, Mexico, Belgien, Iran, Pakistan og Østrig. Ved første, Regin blev brugt i spionage kampagner mod en lang række organisationer fra 2008 til 2011. Derefter blev det pludselig trukket tilbage, og en ny version optrådte sidste år. Næsten halvdelen af ​​de identificerede Regin infektioner blev rettet mod små virksomheder og private. Hovedformålet med angrebene på telekommunikationssektoren var naturligvis at få adgang til opkald, der blev dirigeres gennem denne infrastruktur.

    Ofrene for Regin malware kan henføres til disse kategorier:

    • Personer, der er involveret i avanceret matematisk / kryptografisk forskning
    • Finansielle institutioner
    • Forskningsinstitutioner
    • Multinationale politiske organer
    • Teleoperatører
    • Offentlige institutioner

    Oprindelsen af ​​Regin

    Med hensyn til oprindelsen af ​​malware, forskere med F-Secure er sikker på, at Regin ikke er skabt i Rusland eller Kina. I betragtning af de ressourcer, der kræves for at designe en sådan malware, og den type operationer Regin understøtninger, eksperter mener, at angriberne bag det nok mest involvere nationalstat.

    Avatar

    Berta Bilbao

    Berta er en dedikeret malware forsker, drømmer om en mere sikker cyberspace. Hendes fascination af it-sikkerhed begyndte for et par år siden, da en malware låst hende ud af hendes egen computer.

    Flere indlæg

    Efterlad en kommentar

    Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

    Del på Facebook Del
    Loading ...
    Del på Twitter Tweet
    Loading ...
    Del på Google Plus Del
    Loading ...
    Del på Linkedin Del
    Loading ...
    Del på Digg Del
    Del på Reddit Del
    Loading ...
    Del på Stumbleupon Del
    Loading ...