Jedná se o velmi zákeřný malware, se kterým patrně svět žije již od roku 2008. Symantec „ocenil“ technické vlastnosti spywaru, který je podle veřejného prohlášení Symantecu na nebývale vysoké úrovni.
Využití Reginu bylo zdokumentováno již v 10 zemích, značný výskyt je v Rusku a v Saúdské Arábii, další aktivity byly zaznamenány v Mexiku, Irstu, Indii, Afghánistánu, Iránnu, Belgii, Rakousku a v Pákistánu.
Regin je trojský ků typu back-door, který vykazuje velkou míru přizpůsobitelnosti funkcí v závislosti na napadeném cíli. Přibližně polovina infiekcí byla identifikována mezi soukromými uživateli a mezi malými firmami, z nichž se pak šířilo nebezpečí především na telekomunikační operátory. Hlavní funkcí Reginu je systematický sběr údajů.
Popsaný malware má pětistupňový mechanismus aktivace, každý z nich (kromě prvního, který celý řetěz iniciuje) je kryptovaný a skrytý (stealth). Vícestupňový load tohoto trojského koně připomíná jiné případy sofistikovaného malwaru, jakými byl třeba známý Stuxnet. Vývoj Reginu se odhaduje na měsíce možná roky, a tak je na místě předpoklad, že za vývojem stojí nějaká velká organizace, patrně vládní agentura dosud neznámého státu.
Podle prohlášení společnosti Kaspersky Lab si jejich analytici všimli malwaru Regin již na jaře 2012. Naznačoval, že je součástí sofistikované kybernetické špionážní kampaně. Během následujících tří let jej sledovali po celém světě. Čas od času se objevily vzorky, které spolu ale nesouvisely, měly šifrované funkce a postrádaly kontext. Bližší analýza Kaspersky Lab poté ukázala, že Regin není jen jediný škodlivý program, ale celá platforma, balíček softwaru, skládající se z řady modulů, které byly schopny infikovat celé sítě organizací a získat plnou kontrolu na všech možných úrovních. Účelem kampaně Regin je sbírání tajných dat z napadených sítí a provádění dalších typů útoků.
Metoda ovládání napadených sítí je velmi vyspělá. Kaspersky Lab sledovala několik napadených organizací v jedné zemi, ale jen jedna z nich byla naprogramována tak, aby komunikovala s kontrolním serverem útoku v jiné zemi. Všechny oběti útoku Regin v regionu však byly propojeny sítí na bázi peer to peer VPN a mohly mezi sebou komunikovat. Díky tomu mohli útočníci udělat z mnoha napadených organizací jednu velkou oběť, posílat příkazy a krást informace skrze jediný přístupový bod. Podle analytiků tak bylo možné operovat v utajení mnoho let bez jakéhokoliv podezření.
Nejoriginálnější a nejzajímavější funkcí platformy Regin je schopnost zaútočit na GSM sítě. Útočníci byli schopni získat údaje, které jim umožnily ovládat GSM buňky v síti velkého mobilního operátora. To znamená, že mohli mít přístup k informacím, které hovory procházejí danou buňkou, poté je přesměrovat do jiných buněk, aktivovat vedlejší buňky a provádět další činnosti. V současnosti je Regin jedinou známou kampaní schopnou provádět takové operace.
Zdroj: IDG News Service, Kaspersky Lab, aktualizováno 25.11.2014.
Čtěte také:
→ Kybernetickým útokům již nelze zabránit, pro Čechy je problém malý počet odborníků na bezpečnost
Češi stále považují nespokojené zaměstnance za nejpravděpodobnější zdroj útoku, zatímco ve světě jsou za největší hrozbu již označováni kyberzločinci a hackeři.
→ Většina úřadů v ČR nevyhoví nárokům na kyberbezpečnost
Odhadem 20 % soukromých firem a 80 % institucí veřejné správy nestihne splnit požadavky na informační bezpečnost, které jim od ledna 2015 uloží nový kybernetický zákon.
Zaujal vás tento článek?
Zaregistrujte se k odběru našeho e-mailového newsletteru. Každý týden tak pohodlně získáte přehled o důležitých událostech v IT branži.
PŘEDPLATNÉ
ČLÁNKY DO MAILU