Регин, РАТ, используемый против "Google Russian" Яндекс

(Ди Франческо Руголо)
17/07/19

В мире компьютерной безопасности потенциальные риски для компаний и учреждений в виде вредоносных программ e Инструментарий они многочисленны и широко распространены.
Группы экспертов, часто спонсируемые правительствами для мониторинга и шпионажа, ведут войну, которая имеет только средства, с помощью которых она ведется, но имеет более чем ощутимые последствия. Это было доказано во время атаки на Иран через вредоносное ПО Stuxnet (v.articolo).

Также от создателей Stuxnet, а именно от шпионской группы ИТ, связанной с АНБ (Агентство национальной безопасности), один из предположительно происходит от Инструментарий более сложным и мощным в последние годы, так называемые Регин.

Регин классифицируется как RAT (троянец удаленного доступа), был обнаружен различными компаниями по компьютерной безопасности, такими как Лаборатории Касперского и Symantec, осенью 2013, хотя он уже существовал и активно работал ранее.

Первое использование Регин датируется 2008 его версией 1.0, активной до 2011. В 2013 он возвращается с новой версией 2.0, даже если предполагается, что возможны промежуточные версии, активные в течение этих двух лет паузы.

Что делает это программное обеспечение особенным, так это невероятная способность адаптироваться к целевой цели, часто учреждения и компании. Регин поражает большой процент интернет-провайдеров и телекоммуникационных компаний, расположенных в основном в России и Саудовской Аравии, но также создает проблемы для европейских учреждений и компаний.

Но как это Регин чтобы быть настолько эффективным, как это используется для присвоения конфиденциальной информации?

Регин имеет различные функции, в основном используемые для мониторинга и кражи информации, такой как пароли и файлы любого типа, может делать снимки экрана, управлять функциями мыши и клавиатуры, отслеживать трафик данных в сети и т. д.

Архитектура программного обеспечения является сложной и модульной, разделенной на этапы 6. Ниже для тех, кто хочет узнать больше, есть ссылка на документ Symantec, в котором подробно объясняется архитектура инфраструктуры со ссылками на тип шифрования и используемые протоколы (ссылке).

Векторы инфекции Regin неясны именно из-за его способности адаптироваться к различным целям в различных ситуациях. В одном случае вектор заражения был приложением Yahoo! мессенджер, в других случаях USB заражен.

Деятельность Регин он не ограничивается одними годами 2008-2011 и 2013-2014, а продолжается и по сей день, когда в конце 2018 была совершена последняя большая атака на российского гиганта Yandex.

У нас до сих пор нет всей информации, необходимой для борьбы и выявления Регин, который удается оставаться незамеченным в течение нескольких месяцев в сети, прежде чем быть обнаруженным.

Это позволяет нам понять сложность программного обеспечения и его важность в среде компьютерного шпионажа, среде, которая сегодня, как никогда, является театром военных действий, способным влиять на компании, учреждения и целые страны..

источники:

https://www.symantec.com/it/it/outbreak/?id=regin

https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/

https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-y...

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX