NSA zřejmě kvůli získávání dat spolupracuje s tvůrci malwaru

28. 1. 2015

Sdílet

 Autor: © juanjo tugores - Fotolia.com
Značná část kódu keyloggeru, který byl použit americkou národní bezpečnostní agenturou NSA, je shodná s klíčovou komponentou sofistifikované platformy Regin, která se roky používala ke špehování firem, vládních institucí i jednotlivců.

Keylogger (aplikace, která zaznamenává stisknuté klávesy na počítači uživatele a následně je zasílá útočníkovi) s označením QWERTY byl pravděpodobně součástí rozsáhlého systému používaného NSA a jejími partnerskými organizacemi a byl mezi informacemi, který Edward Snowden poskytl novinářům.

Keylogger zpřístupnil 17. ledna německý deník Der Spiegel spolu se souborem tajných dokumentů, které popisovaly možnosti NSA a jejích partnerských agentur z Velké Británie, Kanady, Austrálie a Nového Zélandu (tzv. Five Eyes Partners).

„Získali jsme kopii škodlivého kódu publikovaného listem Der Spiegel a když jsme jej analyzovali, okamžitě nám připomněl Regin,“ uvedli včera na blogu výzkumníci ze společnosti Kaspersky Lab. „Když jsme se na kód podívali blíže, došli jsme k závěru, že keylogger QWERTY je identický s pluginem 50251 pro Regin.“

Výzkumníci Kaspersky následně zjistili, že QWERTY i 50251 jsou propojené se stejným modulem na platformě Regin kódově označované 50225. Tato komponenta umožňuje červu běžet v tzv. kernelu operačního systému, aniž by to uživatel tušil.

Jak uvedl Kaspersky, jde o silný důkaz svědčící o tom, že QWERTY byl součástí platformy Regin. „Vezmeme-li v úvahu extrémní sofistifikovanost platformy Regin a velmi malou šanci, že by jej někdo mohl duplikovat, aniž by měl přístup k jeho zdrojovému kódu, došli jsme k závěru, že tvůrci QWERTY a Regin buďto spolupracují, nebo jde o týž osoby.“

Podle listu Der Spiegel je QWERTY plug-inem pro unifikovanou síť zvanou jako WARRIORPRIDE, kterou využívají partneři Five Eye. V dokumentu, který unikl z Communications Security Establishment Canada (kanadská obdoba NSA) je WARRIORPRIDE popisován jako flexibilní platforma určená pro průnik do počítačových systémů.

V dokumentu dále stojí, že WARRIORPRIDE je také uvnitř britské špionážní agentury GCHQ přezdíván jako DAREDEVIL a partneři v rámci Five Eyes k němu mohou libovolně vytvářet plug-in a přizpůsobovat si jej.

ICTS24

Z dostupných informací tak vyplývá, že platforma, kterou bezpečnostní společnosti označují jako Regin, je vlastně to, co NSA a spol. mají pojmenované jako WARRIORPRIDE. To už někteří jiní experti dříve předpokládali.

Podle Kaspersky Lab byl Regin červem, který infikoval v roce 2013 počítač belgického kryptografa Jeana Quisquatera, přičemž tento útok byl spojován s jiným útokem na belgickou telekomunikační skupinu Belgacom, mezi jejíž zákazníky patří Evropská komise, Evropský parlament a Evropská rada.