Regin — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows, обнаруженный Лабораторией Касперского[1] и Symantec в ноябре 2014 года. По оценке представителей «Лаборатории Касперского», первые сообщения об этом вирусе появились весной 2012 года, а самые ранние выявленные экземпляры датируются 2003 годом[2] (само название Regin впервые появилось на антивирусном онлайн-сервисе VirusTotal 9 марта 2011 года[3]). Среди компьютеров, зараженных вирусом Regin, 28 % — в России, 24 % — в Саудовской Аравии, по 9 % — в Мексике и Ирландии, и по 5 % в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане[4][5].

Согласно статистике «Symantec», 28 % жертв Regin — телекомы, 48 % — частные лица и малый бизнес, остальные 24 % заражённых компьютеров принадлежат государственным, энергетическим, финансовым и исследовательским компаниям. «Лаборатория Касперского» уточняет, что среди частных лиц этот троянец особенно интересовался теми, кто занимается математическими или криптографическими исследованиями[5].

Описание

править

Regin представляет собой вирус-троянец, использующий модульный подход, который позволяет ему загрузить функции, необходимые для учёта индивидуальных особенностей заражаемого компьютера или сети. Структура вируса рассчитана для постоянного, долговременного целевого наблюдения за многочисленными объектами[6][7].

Regin не хранит данные в файловой системе заражённого компьютера, вместо этого он имеет свою собственную зашифрованную виртуальную файловую систему (EVFS), которая выглядит как единый файл. В качестве метода шифрования EVFS использует вариант блочного шифра RC5[7]. Regin осуществляет коммуникации через Интернет с использованием ICMP/Ping, команд, встраиваемых в HTTP cookie и протоколов TCP и UDP, превращая заражаемую сеть в ботнет[4][8].

Идентификация и именование

править

«Symantec» и «Лаборатория Касперского» определяют эту программу как Backdoor.Regin[9]. 9 марта 2011 года компания Microsoft добавила соответствующие записи в свою «Энциклопедию компьютерных вирусов» (англ. Microsoft Malware Encyclopedia[10][11]). Позже были добавлены ещё два варианта — Regin.B и Regin.C. Microsoft предлагает назвать 64-битные варианты Regin Prax.A и Prax.B.

Создатели

править

Эксперты по компьютерной безопасности сравнивают Regin с вирусом Stuxnet по уровню сложности и ресурсоёмкости разработки, в связи с чем высказываются мнения, что вирус мог быть создан на государственном уровне (Symantec прямо говорит о западной спецслужбе) в качестве многоцелевого инструмента сбора данных[8][12][13].

«Лаборатория Касперского» в своём отчёте о вирусе приводит статистику timestamps (отметок о том, в какое время обновлялся код вируса во время разработки), на основании которой можно сделать вывод, что авторы трояна работают на полный день в офисе, даже с обеденным перерывом[5].

Примечания

править
  1. Regin Revealed. Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано 28 мая 2017 года.
  2. Kaspersky:Regin: a malicious platform capable of spying on GSM networks Архивная копия от 30 мая 2015 на Wayback Machine, 24 November 2014
  3. Intercept. Дата обращения: 25 ноября 2014. Архивировано 29 июля 2015 года.
  4. 1 2 Regin: Top-tier espionage tool enables stealthy surveillance. Symantec (23 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
  5. 1 2 3 Троян Regin: кто шпионит за GSM через Windows? Дата обращения: 25 ноября 2014. Архивировано 31 марта 2015 года.
  6. Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts. The Hacking Post - Latest hacking News & Security Updates. Дата обращения: 25 ноября 2014. Архивировано из оригинала 18 февраля 2017 года.
  7. 1 2 NSA, GCHQ or both behind Stuxnet-like Regin malware? scmagazineuk.com (24 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано из оригинала 16 июня 2016 года.
  8. 1 2 Regin White Paper. Symantec. Дата обращения: 23 ноября 2014. Архивировано из оригинала 7 сентября 2019 года.
  9. Symantec: Security Response — 23 November 2014Regin: Top-tier espionage tool enables stealthy surveillance,. Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
  10. .Microsoft Malware Protection Center, click button "Malware Encyclopedia Архивная копия от 30 ноября 2014 на Wayback Machine
  11. Microsoft Protection Center: Trojan:WinNT/Regin.A. Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2014 года.
  12. BBC News - Regin, new computer spying bug, discovered by Symantec. bbc.com. Дата обращения: 23 ноября 2014. Архивировано 9 ноября 2017 года.
  13. Regin White Paper. Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано из оригинала 27 ноября 2014 года.

Литература

править

Ссылки

править