Hat éve figyel a világ legfejlettebb kémprogramja

2014.11.24. 09:36

A Regin valószínűleg egy kormány megbízásából készült. Még netszolgáltatók rendszereibe is beépült.

A kártevőt felfedező Symantec cég szerint minden idők legfejlettebb kémprogramja a Regin, a korábbi hasonló alkalmazások egyike sem volt ilyen komplex felépítésű. Nem véletlen, hogy bár a gyanú szerint a kártevő 2008 óta létezik, csak most, hat évvel később fedezték fel.

Rengeteg orosz gépen bukkantak rá

A Regin mögött valamelyik nyugati államot sejti a Symantec, mivel a kémprogram kódja olyan összetett, hogy még egy fejlett ország szakértői is valószínűleg hónapokon vagy akár éveken át dolgozhattak rajta. A kártevő moduláris felépítésű, fertőzésének első szakaszában csupán arról gondoskodik, hogy megfertőzze a kiszemelt rendszert, további funkcióit utólag tölti le önmaga fejlesztéséhez. Képességeit utólag, a végrehajtandó feladatnak megfelelően lehet alakítani. Az első szakaszt követően kommunikációját a kártevő titkosítva végzi, hogy megnehezítse a felfedezését.

E tekintetben nagyon hasonlít a Skywuper vagy Flamer néven ismert, a Budapesti Műszaki Egyetem CrySys laborjának kutatói által két évvel ezelőtt felfedezett szuperkártevőhöz. A Regin azonban leginkább Oroszországban, Szaúd-Arábiában és Írországban bukkant fel, de mexikói, indiai, iráni, afgán, belga, osztrák és pakisztáni rendszereken is felfedezték.

Betelepült a netszolgáltatókhoz

A vizsgálatokból kiderült, hogy a Regin által megfertőzött rendszerek fele internetszolgáltatóknál és távközlési szolgáltatóknál működött, és csak a maradék fertőzött magánembereket és vállalati, kormányzati rendszereket. A kártevő kórházak, kormányzatok és légitársaságok rendszereiben is felbukkant.

A Time-nak a Symantec szakértője elmondta, hogy valószínűleg IP-alapú hívások lehallgatására is használható a kártevő, és persze jelszavak, fájlok, vagy képernyőmentések készítésére is alkalmas.  A Symantec szerint még ha a kémprogram jelenlétét fel is fedezik egy számítógépen, nagyon nehéz rájönni, hogy milyen célokat szolgál. A kutatók biztosak abban, hogy a kártevő számos komponensének funkciói még előttük is ismeretlenek maradtak.
 
Az is kiderül a Symantec oldaláról, hogy a kártevő rendkívül hatásosan rejtőzködik, a parancsokat többek közt a böngészőben lévő sütifájlokba rejti, és olyan hálózati üzenetekben, protokollokon keresztül kommunikál, hogy az aktivitás nem kelt gyanút.