Regin (вирус)

Regin — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows, обнаруженный Лабораторией Касперского[1] и Symantec в ноябре 2014 года. По оценке представителей «Лаборатории Касперского», первые сообщения об этом вирусе появились весной 2012 года, а самые ранние выявленные экземпляры датируются 2003 годом[2] (само название Regin впервые появилось на антивирусном онлайн-сервисе VirusTotal 9 марта 2011 года[3]). Среди компьютеров, зараженных вирусом Regin, 28 % — в России, 24 % — в Саудовской Аравии, по 9 % — в Мексике и Ирландии, и по 5 % в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане[4][5].

Согласно статистике «Symantec», 28 % жертв Regin — телекомы, 48 % — частные лица и малый бизнес, остальные 24 % заражённых компьютеров принадлежат государственным, энергетическим, финансовым и исследовательским компаниям. «Лаборатория Касперского» уточняет, что среди частных лиц этот троянец особенно интересовался теми, кто занимается математическими или криптографическими исследованиями[5].

Описание

Regin представляет собой вирус-троянец, использующий модульный подход, который позволяет ему загрузить функции, необходимые для учёта индивидуальных особенностей заражаемого компьютера или сети. Структура вируса рассчитана для постоянного, долговременного целевого наблюдения за многочисленными объектами[6][7].

Regin не хранит данные в файловой системе заражённого компьютера, вместо этого он имеет свою собственную зашифрованную виртуальную файловую систему (EVFS), которая выглядит как единый файл. В качестве метода шифрования EVFS использует вариант блочного шифра RC5[7]. Regin осуществляет коммуникации через Интернет с использованием ICMP/Ping, команд, встраиваемых в HTTP cookie и протоколов TCP и UDP, превращая заражаемую сеть в ботнет[4][8].

Идентификация и именование

«Symantec» и «Лаборатория Касперского» определяют эту программу как Backdoor.Regin[9]. 9 марта 2011 года компания Microsoft добавила соответствующие записи в свою «Энциклопедию компьютерных вирусов» (англ. Microsoft Malware Encyclopedia[10][11]). Позже были добавлены ещё два варианта — Regin.B и Regin.C. Microsoft предлагает назвать 64-битные варианты Regin Prax.A и Prax.B.

Создатели

Эксперты по компьютерной безопасности сравнивают Regin с вирусом Stuxnet по уровню сложности и ресурсоёмкости разработки, в связи с чем высказываются мнения, что вирус мог быть создан на государственном уровне (Symantec прямо говорит о западной спецслужбе) в качестве многоцелевого инструмента сбора данных[12][8][13].

«Лаборатория Касперского» в своём отчёте о вирусе приводит статистику timestamps (отметок о том, в какое время обновлялся код вируса во время разработки), на основании которой можно сделать вывод, что авторы трояна работают на полный день в офисе, даже с обеденным перерывом[5].

Примечания

  1. Regin Revealed. Kaspersky Lab. Дата обращения 24 ноября 2014.
  2. Kaspersky:Regin: a malicious platform capable of spying on GSM networks Архивная копия от 30 мая 2015 на Wayback Machine, 24 November 2014
  3. Intercept
  4. 1 2 Regin: Top-tier espionage tool enables stealthy surveillance. Symantec (23 November 2014). Дата обращения 25 ноября 2014.
  5. 1 2 3 Троян Regin: кто шпионит за GSM через Windows?
  6. Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts (недоступная ссылка). The Hacking Post - Latest hacking News & Security Updates. Дата обращения 25 ноября 2014. Архивировано 18 февраля 2017 года.
  7. 1 2 NSA, GCHQ or both behind Stuxnet-like Regin malware? (недоступная ссылка). scmagazineuk.com (24 November 2014). Дата обращения 25 ноября 2014. Архивировано 16 июня 2016 года.
  8. 1 2 Regin White Paper. Symantec. Дата обращения 23 ноября 2014.
  9. Symantec: Security Response — 23 November 2014Regin: Top-tier espionage tool enables stealthy surveillance,
  10. .Microsoft Malware Protection Center, click button "Malware Encyclopedia
  11. Microsoft Protection Center: Trojan:WinNT/Regin.A
  12. BBC News - Regin, new computer spying bug, discovered by Symantec. bbc.com. Дата обращения 23 ноября 2014.
  13. Regin White Paper (недоступная ссылка). Kaspersky Lab. Дата обращения 24 ноября 2014. Архивировано 27 ноября 2014 года.

Литература

Ссылки