Podle odhadů Symantecu byl Regin využíván ke špehování cizích vlád, operátorů, firem i jednotlivců minimálně od roku 2008.
„Regin je na technické úrovni, která se málo vidí,“ uvedl Symantec včera v prohlášení s tím, že červ byl podle všeho vyvinut vládní agenturou nějakého státu. Podle amerických expertů je Regin v současné době využíván v minimálně deseti státech: Rusku, Saudské Arábii, Mexiku, Irsku, Indii, Afghanistánu, Íránu, Belgii, Rakousku a Pákistánu.
Regin je „speciálně upravenou verzí trojského koně s celou řadou schopností, které lze využít u rozmanitých cílů,“ uvedl Symantec s tím, že „červ svým tvůrcům poskytuje silný nástroj ke špehování“. Vývoj Regin trval měsíce, pokud ne roky a jeho autoři údajně odvedli skvělou práci, aby za sebou zahladili stopy.
První verze Regin byla použita ke špehování několika organizací mezi lety 2008 a 2011 a nová verze se podle Symantecu objevila v roce 2012. Téměř v polovině sledovaných případů Regin infikoval sítě jednotlivců a malých firem, jsou však zaznamenány i útoky na velké firmy podnikající v telekomunikačním sektoru s cílem odposlouchávat celou infrastrukturu.
Červ se skládá z pěti oddělených modulů, které jsou až na ten první samostatně zašifrované. Jednotlivé moduly se aktivují postupně jako domino a k analýze a pochopení celého červa je třeba získat všech pět modulů.
Tento způsob fungování se velmi podobá červu Duqu/Stuxnet. Jednotlivé moduly jsou pak upravovány pro konkrétní cíle - experti objevili například speciálně upravené části kódu zaměřené na odposlouchávání zařízení v telefonních ústřednách.
„Regin je velmi pokročilým červem a je využíván k systematickému sběru dat. Vývoj a provozování červa vyžaduje značnou investici času a peněz, což naznačuje, že za tím stojí nějaká země,“ uvedl Symantec. „Regin je navrhnut k dlouhodobému špehování na pečlivě zvolené cíle.“
Symantec podle svých slov věří, že „několik modulů Regin nebylo zatím objeveno a mohou existovat i další varianty tohoto červa“. Experti proto pokračují v analýze a pokud zjistí něco nového, vydají další prohlášení. Jak dodal Symantec, „hledání těchto škodlivých kódů je výzvou pro celý bezpečnostní průmysl.“
Existenci Regin potvrdila i společnost F-Secure, která jej údajně sleduje již několik let.
PŘEDPLATNÉ
ČLÁNKY DO MAILU