Regin (zararli dastur) - Regin (malware)

Norvegiyalik mitti uchun qarang Regin (Norse mifologiyasi).
Shuningdek qarang: Jangchi g'urur

Regin (shuningdek, nomi bilan tanilgan Prax yoki QWERTY) murakkab zararli dastur va xakerlik Amerika Qo'shma Shtatlari tomonidan ishlatiladigan asboblar to'plami Milliy xavfsizlik agentligi (NSA) va uning britaniyalik hamkasbi Hukumat bilan aloqa bo'yicha shtab (GCHQ).[1][2]Bu birinchi marta ommaviy ravishda oshkor qilingan Kasperskiy laboratoriyasi, Symantec va Intercept 2014 yil noyabr oyida.[3][4] Zararli dastur ma'lum foydalanuvchilarga mo'ljallangan Microsoft Windows kompyuterlarga asoslangan va AQSh razvedka ma'lumotlarini yig'ish agentligi bilan bog'langan NSA va uning britaniyalik hamkasbi GCHQ.[5][6][7] Intercept yuklab olish uchun Regin namunalarini taqdim etdi, shu jumladan Belgiya telekommunikatsion provayderida topilgan zararli dastur, Belgakom.[4] Kasperskiy laboratoriyasi Regin haqida birinchi marta 2012 yil bahorida xabardor bo'lganligini, ammo ba'zi dastlabki namunalar 2003 yildan beri paydo bo'lganligini aytmoqda.[8] (Regin nomi birinchi marta Umumiy virus 2011 yil 9 martda veb-sayt.[4]) Regin tomonidan butun dunyo bo'ylab yuqtirilgan kompyuterlar orasida 28 foiz Rossiya, 24 foiz Saudiya Arabistoni, Har birida 9 foiz Meksika va Irlandiya va har birida 5 foiz Hindiston, Afg'oniston, Eron, Belgiya, Avstriya va Pokiston.[9] Yaqinda Kasperskiy laboratoriyasi ishlatilgan bir nechta hujum vektorlarini topdi. USB va & BIOS modifikatsiyasining asosiy qismini beradi zararli dastur 1,2,3 va 5 portlari orqali AOK qilinadi. Jabrlanuvchiga ko'plab qo'shimcha xizmatlar va jarayonlar ko'rinadi. Ijodkorlarning "orqa xonasi" SHA2 xabarlar hazm qilishida to'qnashuvlarni topadi, bu esa protsessorning ko'p vaqtidan foydalanilishini anglatadi. Agar virus dasturiy ta'minoti biroz o'zgartirilgan yangilanishlarni yangilasa (har bir foydalanuvchi uchun, masalan, 256 bayt tasodifiy ma'lumotlar), har bir foydalanuvchi uchun to'qnashuvlar amalga oshirilishi kerak edi. Kasperskiy zararli dasturning asosiy qurbonlari xususiy shaxslar, kichik biznes va telekom kompaniyalari. Regin solishtirildi Stuxnet va "yaxshi ishlab chiquvchilar guruhlari" tomonidan ishlab chiqilgan deb o'ylashadi, ehtimol a G'arbiy hukumat, maqsadli ko'p maqsadli ma'lumotlar yig'ish vositasi sifatida.[10][11][12]

Ga binoan Die Welt, xavfsizlik bo'yicha mutaxassislar Microsoft unga 2011 yilda ayyor Norse mitti nomidan "Regin" nomini bergan Regin.[13]

Ishlash

Regin modulli yondashuvdan foydalanib, maqsadga to'liq mos keladigan xususiyatlarni yuklashga imkon beradi va moslashtirilgan josuslikni ta'minlaydi. Dizayn uni maqsadlarga qarshi doimiy, uzoq muddatli ommaviy kuzatuv operatsiyalari uchun juda mos keladi.[14][15]

Regin yashirin va virusli tizimda bir nechta fayllarni saqlamaydi; buning o'rniga u o'z shifrlanganidan foydalanadi virtual fayl tizimi (EVFS) tarkibida xost uchun zararsiz ismga ega bo'lgan bitta faylga o'xshash fayl mavjud bo'lib, uning ichida fayllar faqat raqamli kod bilan aniqlanadi, ism emas. EVFS kamdan kam ishlatiladigan variantli shifrlashni qo'llaydi RC5 shifr.[15] Regin Internet orqali muloqot qiladi ICMP /ping, ichiga o'rnatilgan buyruqlar HTTP pechene va odatiy TCP va UDP bilan protokollar buyruq va boshqaruv serveri operatsiyalarni boshqarish, qo'shimcha yuklash mumkin foydali yuklar, va boshqalar.[9][11]

Identifikatsiya va nomlash

Symantec, u ham, Kasperskiy ham zararli dasturni aniqladilar Orqa eshik.[9] Ko'pgina antivirus dasturlari, shu jumladan Kasperskiy (2015 yil oktyabr holatiga ko'ra) The Intercept tomonidan chiqarilgan Regin namunasini zararli dastur sifatida aniqlamaydi.[16] 2011 yil 9 martda Microsoft o'zining zararli dasturlar entsiklopediyasiga tegishli yozuvlarni qo'shdi;[17][18] keyinchalik yana ikkita variant, Regin.B va Regin.C qo'shildi. Microsoft Regin-ning 64-bitli variantlarini chaqirmoqda Prax.A va Prax.B. Microsoft yozuvlari hech qanday texnik ma'lumotga ega emas.[4] Kasperskiy ham, Symantec ham nashr etishdi oq qog'ozlar ma'lumot bilan ular zararli dastur haqida bilib oldilar.[11][12]

Ma'lum bo'lgan hujumlar va zararli dasturlarning yaratuvchisi

Nemis yangiliklar jurnali Der Spiegel 2013 yil iyun oyida AQSh haqida xabar bergan aql Milliy xavfsizlik agentligi (NSA) ikkalasida ham onlayn kuzatuv o'tkazgan Yevropa Ittifoqi (Evropa Ittifoqi) fuqarolari va Evropa Ittifoqi institutlari. Ma'lumot kelib chiqadi olingan maxfiy hujjatlar sobiq NSA ishchisi tomonidan Edvard Snouden. Ikkalasi ham Der Spiegel va Intercept 2010 yilgi maxfiy NSA hujjati, uni tuzganligini keltiradi kiberhujumlar o'sha yili, Evropa Ittifoqining diplomatik vakolatxonalariga qarshi ishlatilgan zararli dasturlarni ko'rsatmasdan Vashington, Kolumbiya va uning vakolatxonalari Birlashgan Millatlar.[4][19] Regin sifatida ishlatiladigan dasturiy ta'minotni belgilaydigan belgilar tergovchilar tomonidan yuqtirilgan mashinalarda topilgan.

Intercept 2013 yilda Buyuk Britaniyaning GCHQ hujum qildi Belgakom, Belgiyaning eng yirik telekommunikatsion kompaniyasi.[4] Ushbu hujumlar Reginning xavfsizlik kompaniyalari e'tiboriga tushishiga sabab bo'lishi mumkin. Fox IT IT-firmasi tomonidan o'tkazilgan tahlillarga asoslanib, Der Spiegel 2014 yil noyabr oyida Regin Buyuk Britaniya va AQSh razvedka agentliklari vositasi ekanligini xabar qildi. Fox IT o'z mijozlaridan birining kompyuterida Reginni topdi va ularning tahlillariga ko'ra Reginning qismlari keltirilgan NSA ANT katalogi "Straitbizarre" va "Unitedrake" nomlari ostida. Fox IT mijozning ismini aytmadi, ammo Der Spiegel Fox IT mijozlari orasida Belgacom borligini eslatib, Fox IT rahbari Ronald Prinsning ta'kidlashicha, ular Belgacom tarmog'ida topganlari haqida gapirishlari mumkin emas.[1]

2014 yil dekabrda nemis gazetasi Bild Regin a-da topilganligi haqida xabar berdi USB flesh haydovchi kantsler xodimi tomonidan ishlatilgan Angela Merkel. Barcha xavfsizligi yuqori bo'lgan noutbuklarni tekshiradi Germaniya kantslerlari qo'shimcha infektsiyalar aniqlanmadi.[20]

Regin 2018 yil oktyabr va noyabr oylarida tadqiqot va ishlab chiqarish birligini buzish uchun ishlatilgan Yandeks.[21]

Shuningdek qarang

Adabiyotlar

  1. ^ a b Kristian Steker, Marsel Rozenbax "Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe" Der Spiegel, 2014 yil 25-noyabr
  2. ^ http://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html
  3. ^ "Regin oshkor qilindi". Kasperskiy laboratoriyasi. Olingan 24-noyabr 2014.
  4. ^ a b v d e f Markiz-Boire, Morgan; Guarnieri, Klaudio; Gallagher, Rayan (2014 yil 24-noyabr). "Evropa Ittifoqidagi maxfiy zararli dastur AQSh va Britaniya razvedkasiga aloqador". Intercept.
  5. ^ [1]
  6. ^ Perlrot, Nikol (2014 yil 24-noyabr). "Symantec kompyuter tarmoqlarida yashiringan" regin "josuslik kodini topdi". Nyu-York Tayms. Olingan 25 noyabr 2014.
  7. ^ Gallager, Rayan. "Britaniyalik ayg'oqchilar Belgiyaning eng yirik telekompaniyasini qanday buzganligi haqidagi ichki voqea". Intercept.
  8. ^ Kasperskiy: Regin: GSM tarmoqlarida josuslik qilishga qodir zararli platforma, 2014 yil 24-noyabr
  9. ^ a b v "Regin: yuqori darajadagi josuslik vositasi maxfiy kuzatuvni ta'minlaydi". Symantec. 2014 yil 23-noyabr. Olingan 25 noyabr 2014.
  10. ^ "BBC News - Regin, Symantec tomonidan kashf etilgan yangi kompyuter josuslik xatosi". bbc.com. Olingan 23 noyabr 2014.
  11. ^ a b v "Regin White Paper" (PDF). Symantec. Olingan 23 noyabr 2014.
  12. ^ a b "Regin White Paper" (PDF). Kasperskiy laboratoriyasi. Olingan 24-noyabr 2014.
  13. ^ Benedikt Fuest. "Ein Computervirus, shuning uchun biz buni yaxshi bilamiz". Die Welt. Arxivlandi asl nusxasi 2014 yil 28-noyabrda.
  14. ^ "Regin zararli dasturiy ta'minot -" davlat tomonidan homiylik qilingan "josuslik vositasi maqsadli hukumatlar". Hacking Post - Oxirgi xakerlik yangiliklari va xavfsizlik yangilanishlari.
  15. ^ a b "Stuxnet-ga o'xshash Regin zararli dasturining orqasida NSA, GCHQ yoki ikkalasi bormi?". scmagazineuk.com. 2014 yil 24-noyabr. Olingan 25 noyabr 2014.
  16. ^ Virustotal: Aniqlanish darajasi: 21/56
  17. ^ Microsoft zararli dasturlardan himoya qilish markazi, "Zararli dasturiy ta'minot entsiklopediyasi
  18. ^ Microsoft himoya markazi: troyan: WinNT / Regin.A
  19. ^ Poitras, Laura; Rozenbax, Marsel; Shmid, Fideliy; Stark, Xolger (2013 yil 29-iyun). "Amerikadan hujumlar: NSA Evropa Ittifoqi idoralariga josuslik qildi". Der Spiegel.
  20. ^ "Germaniya hukumati kiberhujum qurboniga aylanishini rad etdi". Deutsche Welle. 2014 yil 29 dekabr.
  21. ^ Reuters (2019 yil 27-iyun). "G'arbiy razvedka" Rossiyaning Google "Yandex-ini akkauntlarni josuslik qilish uchun buzdi". Arxivlandi asl nusxasi 2019 yil 29 iyunda.

Tashqi havolalar