Вирус троян — Regin, инструмент АНБ

Когда Der Spiegel опубликовал документы о кибероружие АНБ, авторы также представили образец вредоносного приложения — QWERTY, который был скрытым кейлоггер, предназначенным для тайной записи всех нажатий клавиш с зараженного компьютера Windows. QWERTY — кейлоггер «плагин для WARRIORPRIDE», которая является «частью пяти глаз базы вредоносных программ, предназначенных

Kaspersky1

для перехвата всей информации на зараженном компьютере и записи для дальнейшего исследования.

В статье о QWERTY Der Spiegel предложил изучить образец QWERTY-код вредоносной программы и эксперты приступили к работе по анализу.

Теперь Der Spiegel сообщает, что новый анализ экспертов из Лаборатории Касперского показал, что QWERTY является «кейлоггер-модуль от трояна Regin. Анализ Касперского предоставил четкое доказательство того, что Regin является на самом деле платформой для кибер-атаки, принадлежащие к альянсу пять глаз, который включает в себя США, Великобритания, Канада, Австралия и Новая Зеландия. В ноябре 2014, Symantec называет Regin самой сложной вирус программой (топ-уровня шпионаж инструмент) для тайного наблюдения. Это программа более сложная, чем Stuxnet и Duqu; она очень хорошо подходит для постоянных, долгосрочных операций наблюдения по заранее выбранным целям. Хотя исследователи видели Regin используется менее чем в 100 атак, он стал самым мощным инструментом для массового наблюдения и был использован в шпионаже против правительственных организаций, операторов инфраструктуры, предприятий, научных работников, а также частных лиц. F-Secure исследователи сообщили, что они уверены Regin принадлежит категории очень сложных вирус программ для шпионажа таких, как «Stuxnet, Flame, и Turla / Змеи», но это вредоносная программа не была создана в России или Китае.

Kaspersky2

Лаборатория Касперского утверждает, что за 10 лет 27 различных жертв стали мишенью Regin. Они определили 14 стран, которые были объектами внедрения вредоносной программы: Алжир, Афганистан, Бельгия, Бразилия, Фиджи, Германии, Ирана, Индии, Индонезии, Кирибати, Малайзия, Пакистан, Россия и Сирия.

Теперь, когда Лаборатория Касперского проанализировала код — QWERTY, опубликованный Der Spiegel с помощью Сноудена, исследователи обнаружили, что QWERTY идентичен по функциональности плагину Regin 50251, и сообщили Der Spiegel: «Мы уверены, что мы смотрим на кейлоггер-модуль от Regin «.

Другое важное наблюдение, что Regin подключаемые модули хранятся внутри зашифрованного и сжатого VFS [Virtual File System], а это значит, что они не существуют непосредственно на машине жертвы в своем родном формат. Платформа диспетчер загружает и выполняет эти плагины при запуске. Единственный способ поймать кейлоггер — является сканирование системной памяти или декодирования VFSes.

Источник: etworkworld.com, zdnet.com