Fortune: «Regin» — новая программа-шпион, целью которой являются компьютеры мелких служащих

203

185288188Новая вредоносная программа «Regin» шпионит за людьми в различных отраслях промышленности. Зачем? Исследователи пока не могут дать внятный ответ.

В воскресенье специалисты компании Symantec, занимающейся вопросами кибер-безопасности, заявили, что новое вредоносное программное обеспечение собирает информацию о частных лицах, компаниях и государственных учреждениях без их ведома.

Такие программы, как «Regin» служат в качестве сборщика информации и шпионят за деятельностью компаний. Никто не знает, откуда взялась новая программа, но представители Symantec уверены в том, что это американская правительственная разработка.

«Мы считаем, что программа используется в основном в целях шпионажа», — рассказал специалист в области безопасности компании Symantec Лиам O’Мерк. «Мы знаем, чего хотят компании друг от друга. Их конечной целью является прослушка телефонных  звонков и все в таком духе. Операторы, управляющие программой «Regin» ищут нужных им людей и информацию. Все указывает на то, что данную программу создали по заказу правительства США».

Специалисты Symantec предоставили следующую информацию: «Regin» (название произносится как «ре-ген», производное от слова «регенерация») наблюдает за своими «жертвами», следуя редкому, крайне сложному алгоритму. Исследователи утверждают, что в первую очередь заражению подвержены и уже пострадали многие интернет-провайдеры и телекоммуникационные компании. Также целью «Regin» являются частные лица, имеющие отношение к области гостиничного бизнеса, энергетики, научных исследований и даже авиакомпаний, и все они обслуживаются этими провайдерами. Операторы вредоносной программы продолжают использовать ресурсы зараженных организаций и получают доступ к информации о частных лицах. Как только операторы получают доступ в общую сеть, они могут удаленно управлять клавиатурой чужого компьютера, считывать историю поиска в браузере и восстанавливать удаленные файлы.

Согласно данным, в наибольшей степени шпионажу подвержены русские и арабские компании. Остальные -европейские, американские, африканские и азиатские так же находятся под наблюдением. Пограмма пробирается в сеть компании различными путями – под видом популярных веб-сайтов или браузеров, а так же при помощи устанавливаемых системных драйверов и съемных носителей.

Атака «Regin» происходит по пяти ступеням. Первая — Троянский конь (или «бэкдор» вирус) нарушения, благодаря которому, используя уязвимость цифрового устройства, программа проникает в систему оставаясь при этом незамеченной. В ходе первого этапа создается так называемый «загрузчик», который готовит программу к переходу на следующую ступень, на которой протекают процессы, усложняющие возможность обнаружения «Regin». Третья и четвертая стадии заключаются в формировании ядра, необходимого для перехода к пятой, заключительной стадии, именуемой как «payload» (ступень полезной нагрузки). Теперь программа может взять под контроль управление чужим компьютером, а так же перейти к цифровому устройству следующей жертвы.

Каждый этап готовит программу к переходу на следующий уровень, нежели работает по одной общей структуре. Что-то вроде «русской матрешки». Такая разветвленная структура позволяет «Regin» стать невидимой и неуловимой для специалистов кибер-безопасности до того момента, пока им не удасться собрать информацию о всех пяти этапах движения вируса.

Вредоносная программа состоит из системы настраиваемых модулей, так что она может собирать необходимую информацию о целом ряде различных жертв. Например, за одну атаку, «Regin» может расшифровать пароль от компьютера портье, и в это же время, совершая второе нападение, программа получает возможность удаленно управлять клавиатурой другого устройства. Никто так и не выяснил, зачем им это нужно. Каждый модуль настраивается для одной задачи или системы, что создает сложности в обнаружении и предотвращении нападения вируса.

«Одна из проблем, с которой мы столкнулись, анализируя работу программы – это то, что мы не можем обнаружить все компоненты алгоритма», -делится O’Мерк. «Мы получаем модули, имеющиеся только на устройстве одной конкретной жертвы. Однако нам известно, что существует гораздо больше модулей, чем те, что нам доступны. Мы не располагаем достаточной информацией для того, чтобы понять принцип работы всей схемы. Кроме того, здесь используется крайне изощренный и продвинутый продвинутый способ кодирования, практически не оставляющий за собой никаких следов. Каждая ступень алгоритма зависит от предыдущей и последующей».

Такая последовательность сложных операций, как правило, зарезервирована и используется только государственными специалистами, а так же компаниями, которые спонсируются на национальном уровне. Лишь единицы из всех существующих на сегодняшний день вредоносных программ, продемонстрировали такую изысканность алгоритмизации. В 2012 году такие программы, как Flamer, использовали ту же модульную систему для поражения целей на территории побережья Западной Палестины, Венгрии, Ирана, Ливана и некоторых других стран. Многоступенчатый шаблон «Regin»  функционирует аналогично вредоносной программе Duqu и ее потомку Stuxnet (программам, разработанным с целью нарушить работу иранских ядерных объектов в 2010 году). Лиам O’Мерк говорит о том, что «Regin» является частью одной из наиболее опасных государственных программных разработок в этой области.

«Мы часто говорим о том, что разработчики Stuxnet открыли ящик Пандоры«, — говорит O’Мерк. «Может потому, что мы знаем о том, что именно нужно искать сейчас. Или потому, что Stuxnet настолько шагнули в перед, и результаты их работы попадают под всеобщее обсуждение? Но мы можем сказать точно, что да, теперь нам известно гораздо больше о вредоносных программах, разработанных государством. Это отрасль расширила свои возможности. В нее вовлечено огромное количество компаний и организаций, чем когда-либо ранее. Я бы даже сказал, что произошел программный «бум», взрывная волна которого будет только усиливаться со временем».

Что отличает «Regin» от других программ? Разница в ее жертвах. Вместо того, чтобы атаковать крупнейшие и дорогостоящие структуры, она собирает информацию из различных источников, и при помощи различных организаций, менее значимых и серьезных, например таких, как сети гостиниц (под ее воздействие попало 4% ПК небольших компаний) и т.д. Это наиболее удобный способ добычи информации о крупных клиентах.

«Все служащие среднего звена должны быть в курсе», — говорит O’Мерк. «Небольшие набеги –это еще не конец. Компьютеры служащих являются связующим звеном, ведущим к конечной цели. Многие люди думают: «У меня нет ничего важного, зачем кому-то копаться в моем компьютере? Обычные люди, которые даже не предполагают об этом – на самом деле и попадают в круг риска».

Оригинал: Regin, a new piece of spyware, said to infect telecom, energy, airline industries