Regin: cyberbroń USA i Wielkiej Brytanii brała na cel nie tylko komputery osobiste
Coraz więcej dowodów na to, że państwa Zachodu w swojej strategiidotyczącej cyberprzestrzeni nie ograniczają się do działań obronnych.Symantec przedstawił właśnie wyniki analizy bardzo interesującego ibardzo zaawansowanego szkodnika, który najprawdopodobniej powstał wStanach Zjednoczonych lub Wielkiej Brytanii, a który na swój cel brałgłównie systemy informatyczne w Rosji i Arabii Saudyjskiej.
Backdoor.Regin, bo taką nazwę otrzymał szkodnik, ma działać już od2008 roku – i do tej pory unikał wykrycia przez wszystkienarzędzia diagnostyczne. Kryje się w rozmaitych popularnychaplikacjach, wyróżnia modularną konstrukcją i łatwościądostosowywania jego funkcji do celów. Zapewnia swoim operatoromrozbudowane mechanizmy masowej inwigiliacji, wykorzystywane do tejpory przeciwko ofiarom z organizacji rządowych, infrastrukturzecywilnej, firmom, instytucjom badawczym i użytkownikom indywidualnym.Co ciekawe, wśród tych ostatnich są matematycy i kryptografowie.
Prace nad analizą Regina nie są łatwe. To nie jest pojedynczaaplikacja, ale złożona platforma cyberszpiegowska, którejposzczególne komponenty działają w zaszyfrowanych modułach. BadaczeSymanteca podkreślają,że stworzenie Regina musiało zająć wiele miesięcy, jeśli nie lat, ajego autorzy zrobili bardzo dużo, by zatrzeć po sobie ślady. Zasoby wtym celu użyte, jak i poziom technicznej złożoności szkodnika,świadczą o tym, że jego sponsorem musi być któreś z większych państw.Pod tymi względami Regin może być porównany tylko do słynnegoStuxnetu czy Duqu, choć dzięki swojej elastyczności należy docyberbroni znacznie bardziej zaawansowanych.
Wykorzystanie specjalizowanych ładunków pozwala m.in. na operacjeszpiegowskie – instalację furtek w systemie ofiary dającychzdalny dostęp do maszyny, pozyskiwanie danych o obciążeniachroboczych, a nawet odzyskiwanie skasowanych plików. Szczególnymzainteresowaniem twórców Regina cieszą się serwery Microsoftu.Stworzyli moduły do monitorowania ruchu webserwerów IIS i czytaniapoczty z serwerów Exchange. Aktywność szkodnika nie kończy się jednakna komputerach osobistych. Regina wyróżniają niespotykane dotądmoduły, pozwalające na gromadzenie ruchu z kontrolerów stacjibazowych telefonii komórkowej.
Szkodnik nie gromadzi danych w systemie plików zainfekowanejofiary. Zamiast tego korzysta z własnego zaszyfrowanego wirtualnegosystemu plików, wyglądającego z punktu widzenia hosta jak jeden plik.Wykorzystuje do tego dość rzadko używany kryptosystem RC5. Ukryte wśrodku pliki nie mają nazw, jedynie numeryczne identyfikatory.Komunikacja z jego systemami dowodzenia i kontroli odbywa się poprotokole ICMP/ping, ale w razie potrzeb Regin korzysta też zciasteczek HTTP, jak również własnych protokołów na TCP i UDP.
Informacje o tym, że za tą zaawansowaną bronią stoją StanyZjednoczone i Wielka Brytania przedstawił serwis TheIntercept. Regin miał być wymieniany w dokumentach przekazanychmediom przez Edwarda Snowdena, pracownika NSA znanego z ujawnieniaskali amerykańskich programów inwigilacji. Oprócz ataków na Rosję,Regin miał służyć też w operacjach przeciwko sieciom informatycznymeuropejskich rządów, jak również belgijskiej firmietelekomunikacyjnej Belgacom. W The Intercept możecie znaleźć szczegółową analizę loaderów szkodnika, jak również zdobyczne próbki Regina do pobrania.
To zaawansowane zagrożenie, ujawnione wkrótce po zakończeniuwielkich manewrów NATO poświęconych cyberwojnie to kłopotliwa sprawadla rządów europejskich sojuszników Stanów Zjednoczonych. Wspólnie zUSA uczestniczą w działaniach mających na celu wzmocnienie ochronyich systemów informatycznych przed zagrożeniem ze strony Rosji. Z kimjednak miałyby ćwiczyć ochronę swoich systemów informatycznych przedzagrożeniem ze strony USA?
