Bezpečnostní experti objevili špionážní trojan Regin. Napadá vlády, banky i operátory

26. 11. 2014

Sdílet

 Autor: Redakce

Regin je výzvědný trojský kůň, který se na různých počítačích ve světě objevuje minimálně od roku 2008. Podle Symantecu jde možná o zatím nejkomplexnější malware. Jeho vývoj musel trvat měsíce, ne-li roky. A právě náročnost je možná důkazem, že za Reginem stojí některá z vlád. Možná americká nebo čínská. Ty mají dostatek prostředků, motivů a navíc nejsou mezi zeměmi, kde byl trojan objeven.

Bezpečnostní firma Kaspersky Lab odhalila, že oběti se nacházejí v Alžírsku, Afghánistánu, Belgii, Brazílii, Fidži, Německu, Íránu, Indii, Indonésii, Kiribati, Malajsii, Pákistánu, Sýrii a Rusku. Regin útočil na telekomunikační operátory, vlády, finanční instituce, výzkumné organizace atd.

Pět fází trojského koně Regin
Pět fází trojského koně Regin

Na vzdáleném počítači umí sledovat síťový provoz, pomocí keyloggeru krást hesla, obnovit smazané soubory, zachytávat dění na obrazovce nebo počítač rovnou ovládat. Regin navíc sledovat GSM buňky. Kaspersky Lab říká, že útočníci mohli monitorovat hovory v mobilních sítích. Už v roce 2008 prý došlo k manipulaci s buňkami u jednoho operátora na Blízkém východě.

Trojan byl modulární, takže se dokázal přizpůsobovat cíli a používat specializované funkce. A zároveň se na počítačích spouštěl ve více fázích/vrstvách. Nejdříve se nahraje první vrstva, ta dešifruje informace, spustí kód a zavolá další vrstvu. Těch fází je celkem pět, takže analyzovat kompletní malware je možné až po objevení všech pěti.

 

ICTS24

Regin byl pozorován už mezi lety 2008 a 2011, pak se na chvíli ztratil a objevil znovu až loni. Podle Symantecu se neumí sám rozmnožovat, ale do počítače musí být nahrán ručně. Třeba stažením infikované přílohy nebo využitím děr v prohlížečích nebo IM klientech. Na jeden z počítačů se dostal přes Yahoo Messenger.

Zdroj: Symantec, Kaspersky