Από ότι φαίνεται η χρήση ιδιαίτερα εξελιγμένου malware, όπως το Stuxnet δεν περιορίζεται σε υψηλού προφίλ στόχους (χρησιμοποιήθηκε για την διακοπή της λειτουργίας εργοστάσιου εμπλουτισμού ουρανίου και ενάντια σε διάφορες υποδομές στο Ιράν). Η εταιρεία Symantec ανακάλυψε ένα ιδιαίτερα πολύπλοκο trojan που για πολύ καιρό λειτουργούσε ανενόχλητο κατασκοπεύοντας άτομα και κυβερνήσεις από το 2008.

Το Regin όπως είναι η ονομασία του (Backdoor.Regin) είναι ένα ιδιαίτερα πολύπλοκο trojan και παράλληλα ιδιαίτερα ευέλικτο επιτρέποντας σε οποίον το χρησιμοποιεί να παραμετροποιήσει την λειτουργία του και να το φορτώσει με ειδικά εργαλεία ανάλογα τον στόχο, αν θέλει να πάρει τον έλεγχο εξ' αποστάσεως ενός συστήματος, αν θέλει να πάρει screenshots ή αν θέλει να παρακολουθεί την δικτυακή κίνηση. Επιπλέον είναι κατά τέτοιο τρόπο ανεπτυγμένο ώστε να κρύβει τα ίχνη του.

 

Το trojan που όπως είπαμε έχει την ονομασία Regin είναι μία πολυεπίπεδη απειλή, και κάθε επίπεδο είναι κρυπτογραφημένο και κρυφό με εξαίρεση το πρώτο στάδιο.

Με την εκτέλεση του πρώτου σταδίου ξεκινάει μία αλυσιδωτή διαδικασία -ένα ντόμινο- αποκρυπτογράφησης και φόρτωσης για κάθε μεμονωμένο στάδιο ωσότου ολοκληρωθούν και τα πέντε στάδια. Κάθε μεμονωμένο στάδιο παρέχει ελάχιστες πληροφορίες για το σύνολο του πακέτου. Μόνο εφόσον αποκτηθούν και τα πέντε στάδια είναι δυνατή η ανάλυση και η κατανόηση της απειλής.

 

gallery_286955_1469_9657.jpg

 

Το Regin διαθέτει ακόμα και εργαλεία για να αντιμετωπίζει τεχνικές εγκληματολογίας και μπορεί να χρησιμοποιεί ακόμα και εναλλακτική κρυπτογράφηση με μία κίνηση. Οι ερευνητές της Symantec υποπτεύονται ότι το trojan είναι ένα εργαλείο παρακολούθησης που έχει δημιουργηθεί από κάποια κυβέρνηση, και πρέπει να χρειάστηκαν μήνες, αν όχι χρόνια για να το δημιουργήσουν.

Αν χρησιμοποιείται για κατασκοπεία πάντως, δεν είναι ξεκάθαρο ποιος έγραψε τον κώδικα του malware και για ποιο ακριβώς λόγο. Σε αντίθεση με το Dragonfly ή άλλους τύπους malware που δημιουργήθηκαν από επαγγελματίες, οι επιλογές για την προέλευση του Regin δεν έχουν περιοριστεί σε κάποια συγκεκριμένη χώρα ή περιοχή.

 

gallery_286955_1469_48226.jpg

 

Σχεδόν οι μισές μολύνσεις έχουν σημειωθεί στην Ρωσία και στην Σαουδική Αραβία ωστόσο υπάρχουν θύματα και σε άλλες χώρες όπως η Ινδία, το Ιράν αλλά και Ευρωπαϊκές χώρες.

Το 48% των θυμάτων είναι άτομα και μικρές επιχειρήσεις. Αν και το Regin από ότι φαίνεται αποτελεί το βασικό εργαλείο για μία μεγάλη online εκστρατεία κατασκοπείας, είναι δύσκολο αυτή την ώρα να βγουν ασφαλή συμπεράσματα.

 

Link.png Site: Engadget