Когда в 2010 году Белорусская антивирусная компания от имени своего иранского клиента проанализировала подозрительный файл, вероятно, никто и не подозревал, что вскоре мир узнает, что такое Stuxnet, наиболее опасный вирус в мире. Сегодня мы уже знаем, что такие инструменты были созданы гораздо раньше. Один из старейших был, вероятно, недавно раскрыт. Действовал ли он на пользу России и Китая?
Symantec объявила об идентификации чрезвычайно опасного вируса под названием Regin. Как и знаменитый Stuxnet, а также Flame или Duqu он является червем, запущенным в государственные учреждения, такие компании, как банки, операторы мобильной связи и авиакомпании, а также к конкретным, важным для директоров, людям.
Как сообщают информационные агентства первые следы, оставленные Regina, ведут еще в 2003 год. Но вирус оказался настолько идеален, что в течение многих лет совершенные нападения оставались незамеченными. Все из-за того, что Regin может превращаться, по крайней мере, в пятьдесят различных червей.
Сегодня мы знаем, что вирусом Regin были инфицированы различные системы Германии, Ирана, Сирии, Пакистана, России, Саудовской Аравии, Бельгии.
Regin работает в очень изощренный способ: когда червь активизируется, он проходит через 5 этапов. Во-первых, вредоносный код загружает и настраивает себя на основе существующей архитектуры жертвы, затем загружает соответствующие драйвера в ядро, убирает за собой и начинает конкретную вредоносную загрузку (стандарт: программные закладки, клавиатурные шпионы, сетевые анализаторы пакетов и мониторинг модулей для USB устройств, а также восстановление удаленных данных). Интересно, что каждый этап шифруется отдельно (ключи для последующего этапа находятся в предыдущем и это утруждает анализ, поскольку в завершающей стадии угрозы нет никаких сведений о предыдущих этапах атаки). Regin сохраняет данные в расширенных атрибутах Windows (метаданные файловой системы Windows) и в VFS.
Похоже на то, что злоумышленники используют несколько векторов атаки. Kaspersky констатирует, что большинство атак направлено на сетевых администраторов и, именно таким образом, злоумышленник сразу получает широкий диапазон контроля над корпоративными сетями.
Regin также создает свой собственный вид сети P2P и использует его для общения.
Кто создал этот вирус? Как обычно в таких случаях, ничего не понятно. F-Secure утверждает, что это работа России и Китая. Но, вероятно, Regin это еще один отличный инструмент, создатель которого никогда не обнаружится.