Regin: αινιγματικό malware για ευρείας κλίμακας κυβερνοκατασκοπεία

Παραμετροποιήσιμο, με τη δυνατότητα να προσαρμόζεται στα δεδομένα του εκάστοτε στόχου, με αυξημένα stealth χαρακτηριστικά, ώστε να μην ανιχνεύεται εύκολα, και πιθανώς κρατικής/ κυβερνητικής προέλευσης: αυτά είναι τα βασικά χαρακτηριστικά του Regin, ενός κακόβουλου λογισμικού τον εντοπισμό του οποίου ανακοίνωσε η γνωστή εταιρεία του χώρου της διαδικτυακής ασφαλείας, Symantec, προκαλώντας αίσθηση στο Ίντερνετ.

Σύμφωνα με τη σχετική ανακοίνωση, πρόκειται για ένα εργαλείο το οποίο ενδείκνυται για εκτεταμένες και συστηματικές εκστρατείες παρακολούθησης και έχει χρησιμοποιηθεί εναντίον διεθνών στόχων από το 2008 μέχρι το 2011- έτος κατά το οποίο φάνηκε να εξαφανίζεται απότομα- για να επανεμφανιστεί σε άλλη, νεότερη έκδοση το 2013. Στους στόχους του περιλαμβάνονται ιδιωτικές εταιρείες, κυβερνητικοί φορείς και ερευνητικά ινστιτούτα. Σχεδόν οι μισές από τις μολύνσεις που παρατηρήθηκαν είχαν ως στόχους ιδιώτες και μικρές επιχειρήσεις, ενώ οι επιθέσεις που παρατηρήθηκαν σε εταιρείες τηλεπικοινωνιών φαίνονται να αποσκοπούσαν στην υποκλοπή κλήσεων οι οποίες περνούσαν από τις υποδομές τους.

Κατά τη Symantec η ανάπτυξή του διήρκεσε μήνες, ίσως και χρόνια, και οι δημιουργοί του φαίνονται να προσπάθησαν ιδιαίτερα για να δημιουργήσουν ένα μέσον τα ίχνη του οποίου εντοπίζονται δύσκολο. Όπως τονίζεται στην αναφορά, οι δυνατότητες και το επίπεδο πόρων που φαίνεται να διατέθηκαν για τη δημιουργία του υποδεικνύουν ότι πιθανότατα αποτελεί ένα από τα κύρια εργαλεία κυβερνοκατασκοπείας που χρησιμοποιούνται από κάποια  κυβέρνηση/ κράτος.

Ο σχεδιασμός του χαρακτηρίζεται ως αρθρωτός, κάτι που σημαίνει ότι είναι δυνατή η παραμετροποίησή του ώστε να ανταποκρίνεται στα διαφορετικά δεδομένα κάθε στόχου. Επίσης, επισημαίνεται ως «πολυεπίπεδη» απειλή, με το κάθε επίπεδο να είναι κρυπτογραφημένο εκτός από το πρώτο. Η εκτέλεση του πρώτου επιπέδου ξεκινά μια αλυσιδωτή αντίδραση, που έχει ως αποτέλεσμα την αποκρυπτογράφηση και το «φόρτωμα» συνολικά πέντε επιπέδων. Σημειώνεται ότι η ανάλυση του Regin είναι δυνατή μόνο στο σύνολό του (και με τα πέντε επίπεδα), καθώς το καθένα μόνο του παρέχει ελάχιστες πληροφορίες για το όλο «πακέτο».

Όσον αφορά στον τρόπο μετάδοσης, φαίνεται να ποικίλλει, με τη Symantec να εκτιμά ότι κάποιοι στόχοι μπορεί να ξεγελαστούν έτσι ώστε να επισκεφθούν ψευδείς σελίδες κάποιων γνωστών ιστοσελίδων. Επίσης, πιθανή είναι και η εγκατάσταση μέσω ενός Web browser ή μέσω της εκμετάλλευσης κάποιας εφαρμογής. Όπως τονίζεται, ιδιαίτερη προσπάθεια έχει γίνει ώστε το malware να είναι ιδιαίτερα «stealth», προκειμένου να μπορεί να χρησιμοποιείται σε εκτεταμένες επιχειρήσεις παρακολούθησης οι οποίες διαρκούν χρόνια.

Τα προϊόντα της Symantec και της Norton εντοπίζουν το συγκεκριμένο λογισμικό ως Backdoor.Regin.

Όπως δήλωσε στο BBC ο Τζέισον Στιρ, διευθυντής τεχνολογικής στρατηγικής της εταιρείας ασφαλείας FireEye, τέτοιου είδους μέσα υπάρχουν εδώ και λίγα χρόνια, και ο εντοπισμός τους αποτελεί πραγματική πρόκληση για τη βιομηχανία ασφαλείας. «Είναι ξεκάθαρο ότι έχει γραφτεί από κάποιον που είχε πολύ περισσότερα κατά νου από το να βγάλει χρήματα» προσθέτει.

Σε σχετική ανακοίνωση/ blogpost προέβη και η εταιρεία F-Secure, η οποία αναφέρει ότι το Regin είχε ανιχνευθεί για πρώτη φορά από την ίδια πριν από περίπου έξι χρόνια, στις αρχές του 2009, όταν είχε βρεθεί σε έναν Windows server κάπου στη βόρεια Ευρώπη.

naftemporiki.gr