它很謹慎,製作成本一定很高。 IT 集團賽門鐵克週日宣布,它發現了自 2008 年以來一直在運行的隱形間諜軟體,其技術複雜性意味著其創建至少受到國家情報部門的監督。這種名為「Regin」的惡意軟體是一種極其複雜的特洛伊木馬,屬於「後門」類型,允許對選定的目標進行謹慎監控,感染媒介根據每個目標而變化。
“賽門鐵克團隊已在 10 個國家/地區檢測到已證實的安全漏洞,首先是俄羅斯,然後是沙烏地阿拉伯,這兩個國家的感染人數均佔大約四分之一”為美國電腦安全專家工作的研究員 Candid Wueest 向法新社解釋。其他受影響的國家(依重要性排序)是墨西哥和愛爾蘭,其次是印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦。
與針對伊朗鈾濃縮離心機的「Stuxnet」不同,「Regin」的目的是收集不同類型的數據,而不是破壞工業控制系統。其複雜性涉及持續數月甚至數年的設計階段,並且需要大量的財務投資。“所使用的時間和資源表明一個國家有責任”,向坦率的烏埃斯特保證。
開發人員也做出了相當大的努力,使病毒盡可能謹慎,使其能夠用於非常長期持續的間諜任務。“即使我們設法在某個地方識別出他的身份,也很難確定他做了什麼或他在尋找什麼””,坦率的烏埃斯特強調。 「Regin」實際上按照骨牌分五個步驟進行操作,只有第一步沒有隱藏和加密(見下圖)。
「Regin」採用模組化方法,為攻擊者提供了極大的靈活性,因為他們可以在需要時載入針對個人目標自訂的自訂函數。它特別能夠截取螢幕截圖、控制滑鼠及其遊標、竊取密碼、監控網路流量以及恢復已刪除的檔案。
「Regin」於 2008 年至 2011 年間首次被賽門鐵克發現,隨後被突然刪除。該「惡意軟體」的新版本於 2013 年重新出現,並且仍然活躍,毫無疑問還有其他版本和功能。
雖然 48% 的感染影響了網路服務供應商的地址,但目標實際上是這些公司的客戶。目標包括企業、政府組織和研究機構。“例如,它在酒店業和航空等領域的存在可能被其煽動者用來了解某些人的出入”,賽門鐵克專家說。
來源:
部落格筆記來自賽門鐵克
