Regin (haittaohjelma)

Selventämisen ohjesivu
Skandinaavisen mytologian hahmo, katso Regin .
Regin

Tiedot
Käyttöjärjestelmä Microsoft WindowsTarkastele ja muokkaa Wikidatan tietoja
Tyyppi Rootkit- haittaohjelma
Tarkastele ja muokkaa Wikidatan tietoja

Regin on Kaspersky Labin ja Symantecin löytämä hienostunut haittaohjelma , joka paljastettiin. Aktiivinen ainakin vuodesta 2008 lähtien, sen sanotaan käyttävän tietoverkkojen vakoilualustana yksityisiä ja julkisia organisaatioita vastaan.

Mukaan leikkauspiste pohjalta antamien tietojen erityisesti Edward Snowden , tämä haittaohjelma luotiin National Security Agency (NSA) ja sen brittiläinen vastine, GCHQ (GCHQ), ja olisi käytetty vakoilemaan Eurooppalaiset toimielimet ja teleyritys Belgacom .

Historiallinen

Symantec paljasti Reginin olemassaolon , jonka se tunnisti ensimmäisen kerran syksyllä 2013. Se osoittaa, että alustaa käytettiin ensimmäisen kerran vuosina 2008–2011, jolloin ohjelmisto julkaistiin. Toinen edelleen aktiivinen versio ilmestyi uudelleen vuonna 2013.

The Kasperky yhtiö julkaisi myös valkoisen kirjan Regin , jossa se oli yksilöinyt sitä ensimmäisen kerran keväällä 2012. kertoo, että jotkin osat Regin peräisin vuodelta 2003.

Toimittaja Glenn Greenwaldin perustama amerikkalainen digitaalinen aikakauslehti Intercept julkaisi myös pitkän tutkimuksen aiheestaRegin- haittaohjelmasta .

, Kasperky-yritys julkaisee analyysin kahdesta Regin- moduulista  : "Legspin", takaovi, joka voi olla vuodelta 2002, ja "Hopscotch", uusi työkalu, jota käytetään liikkumaan kohdennetuissa tietokoneverkoissa.

ominaisuudet

Kaspersky kuvailee Reginiä erilliseksi vakoilualustaksi, jonka hyökkääjät asettavat tietokoneverkkoon saadakseen täyden hallinnan.

Sen päätehtävä olisi kerätä tietoja, se voisi myös ottaa haltuunsa kohdetietokoneet, ottaa kuvakaappauksia ja varastaa salasanoja.

Arkkitehtuuri

Symantec ja Kaspersky kuvailevat Reginin alustaa erittäin modulaariseksi, mikä antaa hyökkääjille paljon joustavuutta, kun he voivat ladata mukautettuja toimintoja, jotka on räätälöity kunkin operaation tavoitteiden mukaan.

Sen modulaariset ominaisuudet vaikeuttavat sen havaitsemista ja ovat samanlaisia ​​kuin muut haittaohjelmat, kuten Flamer tai Weevil . Sen arkkitehtuurin sanotaan olevan samanlainen kuin vuonna 2010 löydetty Stuxnet , tietokonemato , jonka NSA on suunnitellut yhdessä Israelin armeijan tiedustelupalvelun 8200 (AMAN) kanssa hyökätä Iranin uraanirikastussentrifugeja vastaan.

Symantec korostaa, että "se on monimutkainen ohjelma, jota harvoin saavutetaan" .

Regin on haittaohjelma suunniteltu stealth ominaisuus , jotta on alennettu tai lattea allekirjoituksen , ja siten on vaikea havaita, classify tai tunnistaa:

  • Symantec-raportti osoittaa, että vain "  kuljettaja  ", jota käytetään ensimmäisessä kuudesta tunkeutumisvaiheesta, sisältää "luettavaa" koodia, ja seuraavat tiedot on salattu.
  • se ei tallenna useita tiedostoja tartunnan saaneeseen järjestelmään. Sen sijaan se käyttää omaa täysin salattua virtuaalista tiedostojärjestelmää . Isäntäjärjestelmässä tämä tiedostojärjestelmä näyttää yhdeltä piilotetulta tiedostolta, jolla on vaaraton nimi;
  • virtuaalinen tiedostojärjestelmä sisältää tiedostoja, jotka on yksilöity vain numeerisella koodilla eikä nimellä;
  • tiedostojärjestelmä käyttää RC5- salausalgoritmin muunnosta, jota ei ole käytetty laajalti;
  • Regin kommunikoi Internetin kautta käyttämällä ICMP / ping- komentoja, jotka on koteloitu HTTP-evästeisiin ja erityisiin TCP- ja UDP-protokolliin.

Kaspersky ja Symantec esittivät komponentit viittaavat siihen, että Regin kohdistuu Windows- käyttäjiin .

Infektiovektorit

Symantec kertoo, että tartuntavektori vaihtelee kohteiden välillä, ja olettaa, että ne ovat saaneet tartunnan vierailemalla väärennetyillä verkkosivustoilla. Haittaohjelma asennetaan verkkoselaimen kautta tai hyödyntämällä haavoittuvien sovellusten haavoittuvuutta.

Samoin Kaspersky määrittelee lopun että tartuntavektori on edelleen mysteeri, olettaen samalla, että hyökkääjät olisivat turvautuneet "  ihminen keskellä  " -hyökkäyksiin käyttämällä 0 päivän haavoittuvuutta , toisin sanoen tietokonevikaa, jota ei ole julkaistu tai siinä ei ole laastaria .

Kohdeprofiilit

Organisaatiot

Symantec sanoo, että Regin- operaattorit eivät näytä olevan kiinnostuneita tietystä alasta, koska infektioita on havaittu monissa erilaisissa organisaatioissa, mukaan lukien yksityiset yritykset, julkisyhteisöt tai tutkimuslaitokset.

Kaspersky kertoo, että Reginin uhreiksi tunnistetut organisaatiot ovat teleoperaattoreita , hallitusorganisaatioita, monikansallisia poliittisia elimiä, rahoituslaitoksia, tutkimusorganisaatioita ja henkilöitä, jotka ovat mukana matematiikan tai kehittyneen salauksen tutkimuksessa ja kehittämisessä . Kaspersky mikä osoittaa, että Belgian cryptographer Jean-Jacques Quisquater olisi joutunut Regin vuonna 2013.

Yksi Reginin moduuleista on selvästi suunnattu teleoperaattoreille, koska se mahdollistaa erityisesti vakoilun matkaviestinverkkojen IT-järjestelmänvalvojien toiminnasta.

Mukaan leikkauspiste , haittaohjelma on lähde tietokoneen hyökkäyksiä Belgacom .

, sanomalehti Le Monde kertoo, että "asiakirja-aineiston lähellä olevan lähteen mukaan, joka haluaa pysyä nimettömänä [...], Regin oli löydetty useiden eurooppalaisten toimielinten verkostoista" .

, Itävallan sanomalehti Der Standard kertoo, että useiden tuntemattomien lähteiden mukaan Regin- haittaohjelma löydettiin myös Wienissä sijaitsevan Kansainvälisen atomienergiajärjestön (IAEA) tietokonejärjestelmistä. Sanomalehti muistuttaa, että NSA oli vakoilla tätä kansainvälistä virastoa, kuten Der Spiegel paljasti vuonnaperustuu Edward Snowdenin paljastuksiin .

, saksalainen päivälehti Bild paljastaa, että Regin löydettiin liittokansleri Angela Merkelin läheisen yhteistyökumppanin USB-avaimesta . Kanslerin tietoturvapalvelut havaitsivat Reginin , kun tämä työntekijä, joka oli viimeistellyt kotonaan Eurooppaa koskevan puheen kirjoittamisen ja tallentanut asiakirjan USB-tikulle, siirsi sitten asiakirjansa tietokoneammattilaiselle palattuaan toimistoon.

Maa

Symantecin mukaan se on tunnistanut Reginin pääasiassa Venäjällä ja Saudi-Arabiassa , mutta myös Meksikossa , Irlannissa , Intiassa , Afganistanissa , Iranissa , Belgiassa , Itävallassa ja Pakistanissa .

Kaspersky ilmoittaa omalta osaltaan tunnistaneensa 27 uhriorganisaatiota 14 maassa: Afganistanissa, Algeria , Saksa , Belgia, Brasilia , Fidži , Intia, Indonesia , Iran, Kiribati , Malesia , Pakistan, Venäjä ja Syyria .

Attribuutio

Valtionoperaatio

Symantecin asiantuntijan mukaan Regin on epäilemättä ominaisuuksiltaan (toiminnan kesto, motivaatio, infrastruktuurin kehittämiseen ja käyttöönottoon tarvittavat taloudelliset varat) valtion tukema ohjelma. Siksi se olisi edellyttänyt "vähintään neljästä asiantuntijasta koostuvaa ryhmää , joka työskenteli noin vuoden ajan sen kehittämisessä" . Asiantuntijan mukaan tämä operaatio olisi maksanut "useita satoja tuhansia dollareita kohdentamatta mahdollisesti kannattavia tavoitteita, kuten rahoituslaitoksia" . Ensimmäisessä julkaistussa raportissaan Symantec ei kuitenkaan nimeä valtiota, joka vastaa Reginin kehittämisestä .

Kasperky Lab ei myöskään anna vastuuta Reginille , mutta täsmentää, että operaatio on todennäköisesti valtion vastuulla sen monimutkaisuuden ja kustannusten vuoksi.

Yhtiö G Data Software , joka paljastettiin analyysi joitakin koodin REGINHack.lu- konferenssin aikana vahvistaa tämän haittaohjelman valtion alkuperän .

F-Secure -yritys puolestaan päättää analyysinsa osoittamalla, että Regin ei ole kotoisin Venäjältä tai Kiinasta .

Voimakkaat epäilyt GCHQ: n ja NSA: n osallistumisesta

Intercept paljasti, että Regin-haittaohjelma oli osa vuosikymmenen pituista yhteistoimintaa kansallisen turvallisuusviraston ja sen Yhdistyneen kuningaskunnan kollegan, Government Communications Headquartersin (GCHQ) välillä. Intercept- analyysiraporttiperustuu osittain Edward Snowdenilta saatuihin tietoihin. Intercept muistuttaa, että GCHQ-haittaohjelmat antoivat brittiläisille vakoojille mahdollisuuden kerätä tietoja Belgacomilta , joka tarjosi telepalveluja useille eurooppalaisille laitoksille:

Asiantuntija hollantilaisen tietoturvayhtiö Fox-IT, joka auttoi Belgacom hävittää haittaohjelmia verkkoaan vuonna 2013, sanoi olevansa "vakuuttunut" joka Regin luotiin NSA tai GCHQ. Toisaalta, tämä yritys antoi ymmärtää, että komponentit Regin paljastettiin mennessä vastaavat tuotteet nimetty UNITEDRAKE ja STRAIGHTBIZARRE luetteloon NSA ( NSA ANT luettelo  (en) ), olemassaolo ja sisältö on tuotu esiin, että sanomalehti Der Spiegel the.

Suojaus

Kaspersky täsmentää, että sen tuotteet tunnistavat Regin- alustamoduulit nimillä "Trojan.Win32.Regin.gen" ja "Rootkit.Win32.Regin". Regin havaitsee Symantec ja Norton AntiVirus tuotteet kuin "Backdoor.Regin".

Viitteet

  1. a b c ja d Martin Untersinger , "  Regin-virus, valtion kehittämä" joukkovalvonnan "ase  , Le Monde ,( lue verkossa )
  2. a ja b Gilbert Kallenborn ja AFP, "  Regin  , varastava vakoiluohjelma, joka vakoilee kaikkea ", 01net ,( lue verkossa )
  3. a ja b Marc Zaffagni, Regin, valtava vakoiluohjelma on juuri löydetty  " , Futura High-Tech , Futura-Sciences ,(käytetty 5. joulukuuta 2014 ) .
  4. a b c d ja e (en) Morgan Marquis-Boire , Claudio Guarnieri ja Ryan Gallagher , Salaiset haittaohjelmat Euroopan unionin hyökkäyksessä Yhdysvaltain ja Ison-Britannian tiedustelun yhteydessä  " , The Intercept ,( lue verkossa )
  5. Eric LB , "  Regin, NSA: n ja GCHQ: n superhaittaohjelmat , jotka vakoilivat Euroopan unionia  ", 01net ,( lue verkossa )
  6. a b c d e f g h i j k l m ja n (en) Regin- raportti : Huipputason vakoilutyökalu mahdollistaa salaisen valvonnan v1.0  " [PDF] , Symantec,
  7. a b c d e f g h i j k l et m (en) Report The Regin Platform Nation-state ownage of GSM Networks v1.0  " [PDF] , Kaspersky Lab,
  8. (in) Analysis of Regin's Hopscotch and Legspin  " , Kaspersky Lab,
  9. (in) Analyytikot tarkentavat vakoilutyökalua Reginin haitallista moduulia  " SC Magazine,
  10. a b c d e ja f Sebastian Seibt, Economy - Discovery of Regin, spyware to do everything  " , Ranska 24 ,(katsottu 25. marraskuuta 2014 )
  11. Marc Rees, "  Regin, modulaarinen haittaohjelma, joka on erikoistunut tietojen keräämiseen  ", Next INpact ,( lue verkossa )
  12. (in) David E. Sanger , Obama Järjestetty Aalto cyberattacks Irania  " , New York Times ,( lue verkossa )
  13. (in) James Bamford , NSA Snooping oli vasta alkua. Tapaa vakoojapäällikkö , joka johtaa meidät Cyberwariin  ” , Wired ,( lue verkossa )
  14. a ja b (in) Jon Fingas, Hienostunut haittaohjelma on vakoilut tietokoneita vuodesta 2008 (päivitetty)  " , Engadget ,( lue verkossa )
  15. (nl) Amerikanen hacken nu ook Belgische prof  " , Het Nieuwsblad ,( lue verkossa )
  16. (nl) NSA hackt Belgische cyberprof  " , De Standaard ,( lue verkossa )
  17. NSA: n vakooja belgialainen salausgeeni  ", Le Vif / L'Express ,( lue verkossa )
  18. (in) "Rekisteröi  haittaohjelma, joka pystyy vakoilemaan GSM-verkkoja  " , Kaspersky Lab ,(katsottu 25. marraskuuta 2014 )
  19. EB, "  Belgacomin hakkeroinut vakoiluohjelma on tunnistettu  ", Le Soir ,( lue verkossa )
  20. a ja b Martin Untersinger , "  Luotivatko englantilaiset ja amerikkalaiset vakoojat Regin-viruksen?"  ", Le Monde ,( lue verkossa )
  21. (lähettäjä) Fabian Schmid ja Markus Sulzbacher , Spionagesoftware" Regin "nahm Atomenergiebehörde ins Visier  " , Der Standard ,( lue verkossa )
  22. (in) Koodinimi 'Apalachee': Koodinimi 'Apalachee': Kuinka Amerikka vakoilee Eurooppaa ja YK: ta  " ,
  23. Damien Leloup, NSA vakoili myös Yhdistyneitä Kansakuntia  " ,
  24. (de) “  Spionage-Virus im Kanzleramt! Es begann mit einem USB-Stick…  ” , Bild,
  25. Yhdysvaltain tietokonevirus hyökkää Saksan liittokansleriin  " , RTS.ch,
  26. (in) Ellen Nakashima , New Regin spyware löytyi todennäköisesti luoma hallitus  " , Washington Post ,( lue verkossa )
  27. Marc Rees , "  Regin, modulaarinen haittaohjelma, joka on erikoistunut tietojen keräämiseen  ", Next INpact ,( lue verkossa )
  28. (in) Haittaohjelmien esittely D ja D eksoottisen luokitus- ja luokitusyrityksen G Data Sowftare , Conference Hack.lu Paul Rascagneres ja Eric Leblond kanssa, 23. lokakuuta 2014 [PDF]
  29. (in) Regin Vakoilu Toolkit , F-Secure 23. marraskuuta 2014
  30. (in) Nicole Perlroth , Symantecin löytää" Regin Spy Code vaanivat Tietoverkot  " , New York Times ,( lue verkossa )
  31. (in) Belgacom Attack: Britain's GCHQ Hacked Belgian Telecoms Firm  " , Der Spiegel ,
  32. (in) Cyber ​​Attack: British Spying Anggered Belgians  " , Der Spiegel ,
  33. Reuters, Yhdistynyt kuningaskunta vakooja belgialaista Belgacom-yritystä  " , Les Échos ,
  34. a ja b (de) Christian Stöcker ja Marcel Rosenbach , Trojaner Regin ist ein Werkzeug von NSA und GCHQ - SPIEGEL ONLINE  " , Der Spiegel ,( lue verkossa )
  35. a ja b (vuonna) Kim Zetter , Tutkijat paljastavat hallituksen vakoojatyökalun, jota käytetään telekommunikaatioiden hakkerointiin ja belgialaiseen kryptografiin  " , Wired Magazine ,( lue verkossa )
  36. (in) Jacob Appelbaum , Judith Horchert ja Christian Stöcker , Catalog paljastaa NSA on Back Ovi useita laitteita - Spiegel Online  " , Der Spiegel ,( lue verkossa )

Liitteet

Aiheeseen liittyvät artikkelit

Ulkoiset linkit

v  · m
Tapahtumat Titstorm-operaatio  (vuonna) (2010)  · Shady RAT -operaatio (2006-2011)  · Operation Payback (2010)  · DigiNotarin hakkerointi (2011)  · Operaatio Tunisia (2011)  · PlayStation-verkon hakkerointi (2011)  · Operation AntiSec  (en) ( 2011-12)  · Yhdysvallat v. Swartz  (sisään) (2010)  · Vuotaa Wikileaks Stratfor  (vuonna) (2012-13)  · LinkedInin hakkerointi (2012)  · Verkkouhinta Etelä-Koreaa vastaan (2013)  · Hakkerointitähti (2014)  · Operaatio Tovar  (sisään) (2014)  · vuoto kuvia henkilöistä elokuu 2014  · Kyberhyökkäys JPMorgan Chase -ohjelmaa vastaan (2014)  · Sony  Pictures Entertainment Hack (2014) · Verkkouhinta TV5 Mondea vastaan (2015)  · OPM-tietojen rikkominen (2015)  · Cyber ​​-brakettien Bangladeshin keskuspankki (2016)  · Cyberattack WannaCry (2017)  · Cyberattack Adylkuzz (2017)  · Cyberattack NotPetya (2017)
Ryhmät Anonyymi ( liittyvät tapahtumat )  · Syyrian Elektroninen armeijan  · Office 121  · Tumma Basin  · Derp  · Yhtälö Group  · GNAA  (yksinkertainen)  · Goatse Security  · Hakkerointi Team  · LulzRaft  (en)  · LulzSec  · NullCrew  (en)  · OurMine  · RedHack  · TeaMp0isoN  ( in)  · Räätälöity saantitoimituksissa  · ugnazi  · yksikkö 61398  · The Shadow Brokers
Yksittäiset hakkerit Donncha O'Cearbhaill  · Jeremy Hammond  · George Hotz  · Guccifer  · "Sabu" Hector Monsegur  (en)  · Topiary  (en)  · Jester  · weev
Haavoittuvuudet löydetty Heartbleed (2014)  · Shellshock (2014)  · POODLE (2014)  · JASBUG  (sisään) (2015)  · Stagefright (2015)  · DROWN (2016)  · Badlock  (sisään) (2016)  · Dirty Cow (2016)  · EternalBlue (2017) )  · Sulatus (2018)  · spektri (2018)  · ZombieLoad (2019)
Haittaohjelma Babar  · Careto / Naamio  (sisään)  · kryptolocker  · Dexter  · Duqu  · kalastaja  · liekki  · palapeli  · Gameover ZeuS  (sisään)  · Mahdi  · Metulji-botnet  (sisään)  · NSA: n ANT-luettelo  (en)  · R2D2 (troijalainen)  · Regin ( haittaohjelma)  · Shamoon  (in)  · Stars virus  · Stuxnet  · TeslaCrypt  · Petya  · Triton (haittaohjelma)