Keylogger (aplikace, která zaznamenává stisknuté klávesy na počítači uživatele a následně je zasílá útočníkovi) s označením QWERTY byl pravděpodobně součástí rozsáhlého systému používaného NSA a jejími partnerskými organizacemi a byl mezi informacemi, který Edward Snowden poskytl novinářům.
Keylogger zpřístupnil 17. ledna německý deník Der Spiegel spolu se souborem tajných dokumentů, které popisovaly možnosti NSA a jejích partnerských agentur z Velké Británie, Kanady, Austrálie a Nového Zélandu (tzv. Five Eyes Partners).
„Získali jsme kopii škodlivého kódu publikovaného listem Der Spiegel a když jsme jej analyzovali, okamžitě nám připomněl Regin,“ uvedli včera na blogu výzkumníci ze společnosti Kaspersky Lab. „Když jsme se na kód podívali blíže, došli jsme k závěru, že keylogger QWERTY je identický s pluginem 50251 pro Regin.“
Výzkumníci Kaspersky následně zjistili, že QWERTY i 50251 jsou propojené se stejným modulem na platformě Regin kódově označované 50225. Tato komponenta umožňuje červu běžet v tzv. kernelu operačního systému, aniž by to uživatel tušil.
Jak uvedl Kaspersky, jde o silný důkaz svědčící o tom, že QWERTY byl součástí platformy Regin. „Vezmeme-li v úvahu extrémní sofistifikovanost platformy Regin a velmi malou šanci, že by jej někdo mohl duplikovat, aniž by měl přístup k jeho zdrojovému kódu, došli jsme k závěru, že tvůrci QWERTY a Regin buďto spolupracují, nebo jde o týž osoby.“
Podle listu Der Spiegel je QWERTY plug-inem pro unifikovanou síť zvanou jako WARRIORPRIDE, kterou využívají partneři Five Eye. V dokumentu, který unikl z Communications Security Establishment Canada (kanadská obdoba NSA) je WARRIORPRIDE popisován jako flexibilní platforma určená pro průnik do počítačových systémů.
V dokumentu dále stojí, že WARRIORPRIDE je také uvnitř britské špionážní agentury GCHQ přezdíván jako DAREDEVIL a partneři v rámci Five Eyes k němu mohou libovolně vytvářet plug-in a přizpůsobovat si jej.
Z dostupných informací tak vyplývá, že platforma, kterou bezpečnostní společnosti označují jako Regin, je vlastně to, co NSA a spol. mají pojmenované jako WARRIORPRIDE. To už někteří jiní experti dříve předpokládali.
Podle Kaspersky Lab byl Regin červem, který infikoval v roce 2013 počítač belgického kryptografa Jeana Quisquatera, přičemž tento útok byl spojován s jiným útokem na belgickou telekomunikační skupinu Belgacom, mezi jejíž zákazníky patří Evropská komise, Evropský parlament a Evropská rada.
PŘEDPLATNÉ
ČLÁNKY DO MAILU