Symantec alarmuje – odkryliśmy malware równie groźny co Stuxnet
-
- Janusz Chustecki,
- 24.11.2014, godz. 18:06
Informatycy z Symantec odkryli wyjątkowo złośliwe oprogramowanie Regin. Badania wskazują, że malware nie jest dziełem zwykłego hakera, a powstał prawdopodobnie z inicjatywy któregoś z państw i jest używany co najmniej od 2008 roku do szpiegowania instytucji rządowych, firm, operatorów telekomunikacyjnych i instytucji użyteczności społecznej.
Symantec umieścił na swojej witrynie 23-go listopada informację o wykryciu złośliwego kodu Regin, który należy do jednego z najbardziej zaawansowanych technicznie zagrożeń komputerowych typu spyware. Firma udostępniła też specjalny dokument (white paper), w którym opisuje jak Regin funkcjonuje, pisząc w nim iż "jest to jedno z najgroźniejszych narzędzi hakerskich, jakie do tej pory powstało z inicjatywy państwa”.
Badania przeprowadzone przez Symantec pokazały, że malware z pewnością zaatakował do tej pory różnego rodzaju instytucje i organizacje funkcjonujące w 10 krajach, głównie w Rosji i Arabii Saudyjskiej, ale również w Meksyku, Irlandii, Indiach, Afganistanie, Iranie, Belgii, Austrii i Pakistanie.
Zobacz również:
- Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
- Co trzecia firma w Polsce z cyberincydentem
Firma informuje, że oprogramowanie Regin to trojan typu „back-door”, który ma różne postacie, co zależy od tego jaką instytucję ma zaatakować. Symantec twierdzi, iż jest to tak skomplikowane i rozbudowane narzędzie hakerskie, iż jego opracowanie musiało trwać wiele miesięcy, jeśli nie lat. Właśnie dlatego było tak trudne do wykrycia, chociaż atakuje już swe ofiary co najmniej od sześciu lat.
Pierwszą falę ataków przeprowadzonych przez malware Regin odnotowano w okresie od 2008 do 2011 roku. Po blisko czterech latach aktywności malware został wycofany z użycia, aby wrócić do Sieci w nowej, jeszcze bardziej zawansowanej postaci w 2013 roku, atakując zarówno indywidualnych użytkowników, jak i małe firmy oraz duże korporacje, przechwytując m.in. rozmowy telefoniczne przesyłane przez sieci należące do operatorów telekomunikacyjnych.
Malware działa wieloetapowo, a kod obsługujący każdy z etapów ataku (oprócz pierwszego) jest odpowiednio zamaskowany i zaszyfrowany. Etapów jest ogółem pięć, z tym iż pierwszy etap inicjuje łańcuch zdarzeń, tak iż ofiara jest atakowana po kolei przez złośliwe kody reprezentujące następne etapy ataku. Aby poznać dokładnie metodę działania całego mechanizmu, trzeba dokładnie skojarzyć ze sobą kody działające w każdym z pięciu etapów ataku. Dlatego wykrycie tego zagrożenia jest tak trudne, a malware Regin można porównać do takich zagrożeń znanych z przeszłości, jak Stuxnet
Symantec uważa, że jest to dopiero czubek góry lodowej i wiele elementów tego zagrożenia nie zostało jeszcze wykrytych, a Regin dalej atakuje swoje ofiary. Potrzebne są dodatkowe badania i minie prawdopodobnie jeszcze sporo czasu, zanim informatykom uda się rozszyfrować wszystkie zawiłości pracy tego niezwykle groźnego zagrożenia. Ważne jest to, że istnieje już świadomość tego, iż w Sieci funkcjonuje takie szkodliwe oprogramowanie i Symantec wierzy, że z czasem uda je się całkowicie zdemaskować i opracować odpowiednie środki zaradcze.
Po podaniu przez Symanteca informacji o wykryciu groźnego oprogramowania spyware (Regin), specjaliści do spraw bezpieczeństwa snują domysły, kto opracował tak przemyślne i rozbudowane narzędzie. Pojawiają się więc głosy, iż inicjatorem tego rodzaju projektu może być rząd jednego z dwóch krajów: Wielkiej Brytanii lub USA. Może to też być wspólna inicjatywa tych dwóch krajów.
Okazuje się, że malware Regin jest znany od dobrych kilku lat firmom zajmującym się bezpieczeństwem systemów komputerowych. Zasługą Symanteca jest natomiast to, że nadał całej sprawie rozgłos. Można sobie więc zadać pytanie. Dlaczego do tej pory firmy te milczały? Symantec twierdzi, że pierwsze dowody na istnienie takiego zagrożenia zdobył rok temu i następnie analizował cały czas malware. Stąd ta zwłoka. Ale czy pozostałe firmy, które wiedziały o tym ponoć wcześniej, mogą się również w ten sposób tłumaczyć?
Ciekawe jest to, że już dzień po tym, gdy Symantec ujawnił swoją wiedzę na temat tego szkodliwego oprogramowania, Kaspersky Lab również opublikował dokument poruszające tę kwestię. Kasperski Lab twierdzi w nim, że jest bardzo dobrze przygotowane na to zagrożenie, czekając tylko aż cała sprawa nabierze rozgłosu. Firma podała też, że według jej wiedzy Regin zaatakował ostatnio komputer należący do znanego belgijskiego kryptologa (Jean Jacques Quisquater).
Z kolei Intercept informuje, że po głębszej analizie doszedł do wniosku, że to właśnie malware Regin zaatakował ostatnio firmę telekomunikacyjną Belgacom oraz szereg instytucji Unii Europejskiej. Zastanawiające jest też to, że Edward Snowden informował swego czasu, że to właśnie firma Belgacom była celem ataków, których inicjatorem była brytyjska agencja wywiadowcza GCHQ (Government Communications Headquarters). Ataki wykradające poufne dane były przeprowadzane w ramach programu noszącego nazwę Operarion Socialist.
Dodajmy jeszcze opinię wyrażoną przez jednego z dyrektorów firmy F-Secure Labs (Antti Tikkanen), który napisał w blogu iż jest przekonany, że Regin nie jest dziełem Rosji czy Chin. Jeśli nie Rosji czy Chin, to może to być na przykład......postawmy tu na razie znak zapytania.
Jak widać, znaków zapytania dotyczących tego, kto jest twórcą tego zagrożenia, jest wiele. Wiele jednak wskazuje na to, że w całej tej sprawie maczał palce rząd jakiegoś wielkiego mocarstwa (albo rządu kilku takich mocarstw). Miejmy nadzieję, pochodzenie malware’u Regin zostanie wcześniej czy później wyjaśnione.
