Немецкие спецслужбы обнаружили новые следы вируса Regin
Ирландский новостной ресурс сообщил, что спецслужбы Германии начали расследование новых случаев компрометации компьютеров и средств связи сотрудников канцелярии Ангелы Меркель. Речь идет о новых случаях заражения известным вирусом Regin, о котором стало известно год назад и который считается самым опасным state-sponsored вредоносным ПО на сегодняшний день. Regin представляет из себя изощренную программную платформу для организации кибершпионажа и сбора данных.
После публикации секретных данных АНБ беглым агентом Эдвардом Сноуденом, стали известны подробности о различных программных инструментах шпионажа этой спецслужбы, а также британской разведки GCHQ. Одна из таких вредоносных программ под названием QWERTY обладает программным кодом, идентичным с Regin. Этот факт, наряду с прочими, подтвердил уверенность исследователей, что за Regin может стоять NSA/GCHQ.
В отличие от прочих state-sponsored вредоносных программ, которые сосредоточены на сборе данных и действуют достаточно просто в ОС, Regin использует специальные механизмы своей интеграции в системе. Для хранения своих данных вредоносная программа использует свою реализацию зашифрованной файловой системы. Модули Regin присутствуют в 32- и 64-битных вариантах. Кража данных осуществляется с использованием драйверов, которые Regin устанавливает в систему. Вредоносная программа имеет возможности по компрометации GSM-сетей.
Первые сообщения о том, что компьютеры канцелярии Меркель и ее собственный были заражены Regin, появились в прошлом году. Также жертвой Regin оказались пользователи во многих странах мира, включая, Россию, Саудовскую Аравию, Мексику, Ирландию, Индию и прочие страны. Наибольшее количество заражений вирусом пришлось на частные и телекоммуникационные компании.
Рис. Архитектура платформы Regin (данные Symantec).
Для установки имплантов (модулей Regin) в систему используется подход на основе загрузчиков нескольких уровней, на каждом из которых расшифровывается код для последующего. Вредоносная программа специализируется на краже скриншотов экрана, нажатых клавиш, сетевого трафика, паролей веб-браузеров, данных учетных записей, данных виртуальной памяти нужных процессов, электронных сообщений и т. д.
AV-продукты ESET обнаруживают модули Regin как Win32/Regin и Win64/Regin.