Обнаружен один из самых опасных троянцев в истории

«Лаборатория Касперского» опубликовала анализ троянца Regin, который, по заверениям профессионалов, является одной из самых небезопасных вредных киберплатформ в истории.

Как сообщают исследователи «Лаборатории Касперского», разрозненные следы Regin они встречали с 2012 года, на антивирусных сервисах временами всплывали разные несвязанные между собой сэмплы с таинственным назначением, некоторые из которых были сделаны в 2003 году. Всеполноценно проанализировать атаку удалось только не так давно.

Троянец Regin, нареченный так из-за того, что часть своих компонентов он хранит в реестре Windows (игра слов «in registry» – «regin»), штурмует только важнейшие цели из ограниченного перечня категорий: телекоммуникационные компании, органы гос власти, финансовые и научные учреждения, международные политические организации и ученые, участвующие в математических и криптографических исследовательских работах. А именно, одной из жертв оказался известный бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере сэмпл зловреда.

Исследователям так и не удалось найти метод, который используют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было найдено никаких эксплойтов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права админа. В некоторых случаях заражены были контроллеры домена Windows-сети.

1-ый шаг инфецирования заключается в проникновении на компьютер исполняемого файла, видов которого найдено много. Такое обилие, по всей видимости, нужно для затруднения обнаружения программы антивирусными инструментами. Другие составляющие вредной платформы, загружаемые после чего, хранятся впрямую на жестком диске (для 64-битных систем), либо в расширенных атрибутах файловой системы NTFS (в 32-битных системах).

Программы второго шага инфецирования обладают обилием функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальном файловым системам, и базисные функции связи и хранения модулей.

Исследователями было выявлено два главных направления работы Regin: сбор информации и обеспечение проведения атак других типов. Почти всегда злоумышленники, стоящие за Regin, воруют письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки.

Жертв Regin удалось найти в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, Рф и Сирии.

Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция обязана иметь поддержку государственного уровня. При всем этом удалось отыскать очень малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.