Немецкие спецслужбы обнаружили новые следы вируса Regin

Ирландский новостной ресурс сообщил, что спецслужбы Германии начали расследование новых случаев компрометации компьютеров и средств связи сотрудников канцелярии Ангелы Меркель. Речь идет о новых случаях заражения известным вирусом Regin, о котором стало известно год назад и который считается самым опасным state-sponsored вредоносным ПО на сегодняшний день. Regin представляет из себя изощренную программную платформу для организации кибершпионажа и сбора данных.

45ecb609b3f940af8ed88f8f04ca7b86.png

После публикации секретных данных АНБ беглым агентом Эдвардом Сноуденом, стали известны подробности о различных программных инструментах шпионажа этой спецслужбы, а также британской разведки GCHQ. Одна из таких вредоносных программ под названием QWERTY обладает программным кодом, идентичным с Regin. Этот факт, наряду с прочими, подтвердил уверенность исследователей, что за Regin может стоять NSA/GCHQ.
В отличие от прочих state-sponsored вредоносных программ, которые сосредоточены на сборе данных и действуют достаточно просто в ОС, Regin использует специальные механизмы своей интеграции в системе. Для хранения своих данных вредоносная программа использует свою реализацию зашифрованной файловой системы. Модули Regin присутствуют в 32- и 64-битных вариантах. Кража данных осуществляется с использованием драйверов, которые Regin устанавливает в систему. Вредоносная программа имеет возможности по компрометации GSM-сетей.

Первые сообщения о том, что компьютеры канцелярии Меркель и ее собственный были заражены Regin, появились в прошлом году. Также жертвой Regin оказались пользователи во многих странах мира, включая, Россию, Саудовскую Аравию, Мексику, Ирландию, Индию и прочие страны. Наибольшее количество заражений вирусом пришлось на частные и телекоммуникационные компании.

dea53e91bded462091026ab6db1dd3b4.png
Рис. Архитектура платформы Regin (данные Symantec).

Для установки имплантов (модулей Regin) в систему используется подход на основе загрузчиков нескольких уровней, на каждом из которых расшифровывается код для последующего. Вредоносная программа специализируется на краже скриншотов экрана, нажатых клавиш, сетевого трафика, паролей веб-браузеров, данных учетных записей, данных виртуальной памяти нужных процессов, электронных сообщений и т. д.

AV-продукты ESET обнаруживают модули Regin как Win32/Regin и Win64/Regin.

© Habrahabr.ru