Regin — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows, обнаруженный Лабораторией Касперского[1] и Symantec в ноябре 2014 года. По оценке представителей «Лаборатории Касперского», первые сообщения об этом вирусе появились весной 2012 года, а самые ранние выявленные экземпляры датируются 2003 годом[2] (само название Regin впервые появилось на антивирусном онлайн-сервисе VirusTotal 9 марта 2011 года[3]). Среди компьютеров, зараженных вирусом Regin, 28 % — в России, 24 % — в Саудовской Аравии, по 9 % — в Мексике и Ирландии, и по 5 % в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане[4][5].
Согласно статистике «Symantec», 28 % жертв Regin — телекомы, 48 % — частные лица и малый бизнес, остальные 24 % заражённых компьютеров принадлежат государственным, энергетическим, финансовым и исследовательским компаниям. «Лаборатория Касперского» уточняет, что среди частных лиц этот троянец особенно интересовался теми, кто занимается математическими или криптографическими исследованиями[5].
Описание
правитьRegin представляет собой вирус-троянец, использующий модульный подход, который позволяет ему загрузить функции, необходимые для учёта индивидуальных особенностей заражаемого компьютера или сети. Структура вируса рассчитана для постоянного, долговременного целевого наблюдения за многочисленными объектами[6][7].
Regin не хранит данные в файловой системе заражённого компьютера, вместо этого он имеет свою собственную зашифрованную виртуальную файловую систему (EVFS), которая выглядит как единый файл. В качестве метода шифрования EVFS использует вариант блочного шифра RC5[7]. Regin осуществляет коммуникации через Интернет с использованием ICMP/Ping, команд, встраиваемых в HTTP cookie и протоколов TCP и UDP, превращая заражаемую сеть в ботнет[4][8].
Идентификация и именование
править«Symantec» и «Лаборатория Касперского» определяют эту программу как Backdoor.Regin[9]. 9 марта 2011 года компания Microsoft добавила соответствующие записи в свою «Энциклопедию компьютерных вирусов» (англ. Microsoft Malware Encyclopedia[10][11]). Позже были добавлены ещё два варианта — Regin.B и Regin.C. Microsoft предлагает назвать 64-битные варианты Regin Prax.A и Prax.B.
Создатели
правитьЭксперты по компьютерной безопасности сравнивают Regin с вирусом Stuxnet по уровню сложности и ресурсоёмкости разработки, в связи с чем высказываются мнения, что вирус мог быть создан на государственном уровне (Symantec прямо говорит о западной спецслужбе) в качестве многоцелевого инструмента сбора данных[8][12][13].
«Лаборатория Касперского» в своём отчёте о вирусе приводит статистику timestamps (отметок о том, в какое время обновлялся код вируса во время разработки), на основании которой можно сделать вывод, что авторы трояна работают на полный день в офисе, даже с обеденным перерывом[5].
Примечания
править- ↑ Regin Revealed . Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано 28 мая 2017 года.
- ↑ Kaspersky:Regin: a malicious platform capable of spying on GSM networks Архивная копия от 30 мая 2015 на Wayback Machine, 24 November 2014
- ↑ Intercept . Дата обращения: 25 ноября 2014. Архивировано 29 июля 2015 года.
- ↑ 1 2 Regin: Top-tier espionage tool enables stealthy surveillance . Symantec (23 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
- ↑ 1 2 3 Троян Regin: кто шпионит за GSM через Windows? Дата обращения: 25 ноября 2014. Архивировано 31 марта 2015 года.
- ↑ Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts . The Hacking Post - Latest hacking News & Security Updates. Дата обращения: 25 ноября 2014. Архивировано из оригинала 18 февраля 2017 года.
- ↑ 1 2 NSA, GCHQ or both behind Stuxnet-like Regin malware? scmagazineuk.com (24 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано из оригинала 16 июня 2016 года.
- ↑ 1 2 Regin White Paper . Symantec. Дата обращения: 23 ноября 2014. Архивировано из оригинала 7 сентября 2019 года.
- ↑ Symantec: Security Response — 23 November 2014Regin: Top-tier espionage tool enables stealthy surveillance, . Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
- ↑ .Microsoft Malware Protection Center, click button "Malware Encyclopedia Архивная копия от 30 ноября 2014 на Wayback Machine
- ↑ Microsoft Protection Center: Trojan:WinNT/Regin.A . Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2014 года.
- ↑ BBC News - Regin, new computer spying bug, discovered by Symantec . bbc.com. Дата обращения: 23 ноября 2014. Архивировано 9 ноября 2017 года.
- ↑ Regin White Paper . Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано из оригинала 27 ноября 2014 года.