Regin (вирус)

Regin — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows, обнаруженный Лабораторией Касперского^[1] и Symantec в ноябре 2014 года. По оценке представителей «Лаборатории Касперского», первые сообщения об этом вирусе появились весной 2012 года, а самые ранние выявленные экземпляры датируются 2003 годом^[2] (само название Regin впервые появилось на антивирусном онлайн-сервисе VirusTotal 9 марта 2011 года^[3]). Среди компьютеров, зараженных вирусом Regin, 28 % — в России, 24 % — в Саудовской Аравии, по 9 % — в Мексике и Ирландии, и по 5 % в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане^[4]^[5].

Согласно статистике «Symantec», 28 % жертв Regin — телекомы, 48 % — частные лица и малый бизнес, остальные 24 % заражённых компьютеров принадлежат государственным, энергетическим, финансовым и исследовательским компаниям. «Лаборатория Касперского» уточняет, что среди частных лиц этот троянец особенно интересовался теми, кто занимается математическими или криптографическими исследованиями^[5].

Описание

Regin представляет собой вирус-троянец, использующий модульный подход, который позволяет ему загрузить функции, необходимые для учёта индивидуальных особенностей заражаемого компьютера или сети. Структура вируса рассчитана для постоянного, долговременного целевого наблюдения за многочисленными объектами^[6]^[7].

Regin не хранит данные в файловой системе заражённого компьютера, вместо этого он имеет свою собственную зашифрованную виртуальную файловую систему (EVFS), которая выглядит как единый файл. В качестве метода шифрования EVFS использует вариант блочного шифра RC5^[7]. Regin осуществляет коммуникации через Интернет с использованием ICMP/Ping, команд, встраиваемых в HTTP cookie и протоколов TCP и UDP, превращая заражаемую сеть в ботнет^[4]^[8].

Идентификация и именование

«Symantec» и «Лаборатория Касперского» определяют эту программу как Backdoor.Regin^[9]. 9 марта 2011 года компания Microsoft добавила соответствующие записи в свою «Энциклопедию компьютерных вирусов» (англ. Microsoft Malware Encyclopedia^[10]^[11]). Позже были добавлены ещё два варианта — Regin.B и Regin.C. Microsoft предлагает назвать 64-битные варианты Regin Prax.A и Prax.B.

Создатели

Эксперты по компьютерной безопасности сравнивают Regin с вирусом Stuxnet по уровню сложности и ресурсоёмкости разработки, в связи с чем высказываются мнения, что вирус мог быть создан на государственном уровне (Symantec прямо говорит о западной спецслужбе) в качестве многоцелевого инструмента сбора данных^[8]^[12]^[13].

«Лаборатория Касперского» в своём отчёте о вирусе приводит статистику timestamps (отметок о том, в какое время обновлялся код вируса во время разработки), на основании которой можно сделать вывод, что авторы трояна работают на полный день в офисе, даже с обеденным перерывом^[5].

Примечания

↑ Regin Revealed (неопр.). Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано 28 мая 2017 года.
↑ Kaspersky:Regin: a malicious platform capable of spying on GSM networks Архивная копия от 30 мая 2015 на Wayback Machine, 24 November 2014
↑ Intercept (неопр.). Дата обращения: 25 ноября 2014. Архивировано 29 июля 2015 года.
↑ ¹ ² Regin: Top-tier espionage tool enables stealthy surveillance (неопр.). Symantec (23 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
↑ ¹ ² ³ Троян Regin: кто шпионит за GSM через Windows? (неопр.) Дата обращения: 25 ноября 2014. Архивировано 31 марта 2015 года.
↑ Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts (неопр.). The Hacking Post - Latest hacking News & Security Updates. Дата обращения: 25 ноября 2014. Архивировано из оригинала 18 февраля 2017 года.
↑ ¹ ² NSA, GCHQ or both behind Stuxnet-like Regin malware? (неопр.) scmagazineuk.com (24 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано из оригинала 16 июня 2016 года.
↑ ¹ ² Regin White Paper (неопр.). Symantec. Дата обращения: 23 ноября 2014. Архивировано из оригинала 7 сентября 2019 года.
↑ Symantec: Security Response — 23 November 2014Regin: Top-tier espionage tool enables stealthy surveillance, (неопр.). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.
↑ .Microsoft Malware Protection Center, click button "Malware Encyclopedia Архивная копия от 30 ноября 2014 на Wayback Machine
↑ Microsoft Protection Center: Trojan:WinNT/Regin.A (неопр.). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2014 года.
↑ BBC News - Regin, new computer spying bug, discovered by Symantec (неопр.). bbc.com. Дата обращения: 23 ноября 2014. Архивировано 9 ноября 2017 года.
↑ Regin White Paper (неопр.). Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано из оригинала 27 ноября 2014 года.

Литература

Ссылки

[news-1] Regin Revealed (неопр.). Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано 28 мая 2017 года.

[2] Kaspersky:Regin: a malicious platform capable of spying on GSM networks Архивная копия от 30 мая 2015 на Wayback Machine, 24 November 2014

[3] Intercept (неопр.). Дата обращения: 25 ноября 2014. Архивировано 29 июля 2015 года.

[symantecblog-4] ¹ ² Regin: Top-tier espionage tool enables stealthy surveillance (неопр.). Symantec (23 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.

[Троян_Regin-5] ¹ ² ³ Троян Regin: кто шпионит за GSM через Windows? (неопр.) Дата обращения: 25 ноября 2014. Архивировано 31 марта 2015 года.

[6] Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts (неопр.). The Hacking Post - Latest hacking News & Security Updates. Дата обращения: 25 ноября 2014. Архивировано из оригинала 18 февраля 2017 года.

[scmagazine-7] ¹ ² NSA, GCHQ or both behind Stuxnet-like Regin malware? (неопр.) scmagazineuk.com (24 ноября 2014). Дата обращения: 25 ноября 2014. Архивировано из оригинала 16 июня 2016 года.

[whitepaper-8] ¹ ² Regin White Paper (неопр.). Symantec. Дата обращения: 23 ноября 2014. Архивировано из оригинала 7 сентября 2019 года.

[9] Symantec: Security Response — 23 November 2014Regin: Top-tier espionage tool enables stealthy surveillance, (неопр.). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2018 года.

[10] .Microsoft Malware Protection Center, click button "Malware Encyclopedia Архивная копия от 30 ноября 2014 на Wayback Machine

[11] Microsoft Protection Center: Trojan:WinNT/Regin.A (неопр.). Дата обращения: 25 ноября 2014. Архивировано 26 ноября 2014 года.

[bbc-12] BBC News - Regin, new computer spying bug, discovered by Symantec (неопр.). bbc.com. Дата обращения: 23 ноября 2014. Архивировано 9 ноября 2017 года.

[whitepaper2-13] Regin White Paper (неопр.). Kaspersky Lab. Дата обращения: 24 ноября 2014. Архивировано из оригинала 27 ноября 2014 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е