顶级间谍软件Regin背后的故事
作者:星期二, 十一月 25, 20140

01

上周日赛门铁克长达22页的报告,揭示了先进隐形恶意软件Reign从2008年起,就在监视政府、公司和个人,该软件还可以针对不同的数据要求进行定制。此事对于整个安全界来说,都是一个挑战。换句话说,病毒检测软件是干什么吃的?面对高级间谍工具就如此的无能为力么?

关注“信息安全知识”,回复“regin”获得报告地址

10个国家约100个组织或系统遭受到Regin攻击,其中俄罗斯、沙特阿拉伯承担了多数,另外的分布在墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、澳地利和巴基斯坦。

Regin的第一个版本在2008年至2011年期间活动,赛门铁克在一年前已经开始分析第二个版本。通过取证分析发现,Regin有可能早在2006年就已经被激活。实际上,Regin这个名字并不是赛门铁克的命名的,而是沿用了早就知道这种恶意软件的安全圈内人的叫法。

如果这个软件的确已经有8年的历史,这将预示着设计该软件的“民族国家”(Nation-states),已经获得了避开最新的安全检测产品的高超能力。(编者注:Nation-state,意指有着确定疆界和领土的,国民在文化、语言、民族认同感和信仰方面高度统一的国家)

赛门铁克之所以等了将近一年的时间,才公开Regin的讨论,是因为分析这个软件是一件非常困难的工作。除了单点链接执行(执行完一个阶段后才会执行下一阶段),它还使用了对等通信技术(P2P),而不是中央控制系统来盗窃数据。

该软件由哪个国家开发,赛门铁克并未指出,也没有说明所有的受害者是如何感染上Regin的。至今为止只提到了一台计算机,通过雅虎的即时通信软件被感染。有可能是该用户点击了即时通信软件发过来的恶意链接,但更有可能的是Regin的控制者掌握了雅虎软件的漏洞,无需用户的操作就能感染他的计算机。

“从对计算机所做的一切来看,这是一种非常高级的威胁,”赛门铁克研究人员O’ Murchu表示。“我们认为在把自身安装到目标计算机的这一过程上,这些攻击有着非常高级的手段。”

某些跨国的电信企业尤其受到Regin的关注。攻击者似乎得到了GSM手机基站的登录凭证,通过登录这些基础设施,改变手机基站的配置,实施对电话和通信设备的访问和监控。

“我们并不认为Regin是针对企业的网络犯罪行为,”O’ Murchu说道。“它更像是间谍行为。”

---

要闻、干货、原创、专业

关注“信息安全知识”

我们是安全牛!

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章