頂級間諜軟件Regin背后的故事
責編:admin |2014-11-25 16:19:59上周日賽門鐵克長達22頁的報告,揭示了先進隱形惡意軟件Reign從2008年起,就在監視政府、公司和個人,該軟件還可以針對不同的數據要求進行定制。此事對于整個安全界來說,都是一個挑戰。換句話說,病毒檢測軟件是干什么吃的?面對高級間諜工具就如此的無能為力么?
10個國家約100個組織或系統遭受到Regin攻擊,其中俄羅斯、沙特阿拉伯承擔了多數,另外的分布在墨西哥、愛爾蘭、印度、阿富汗、伊朗、比利時、澳地利和巴基斯坦。
Regin的第一個版本在2008年至2011年期間活動,賽門鐵克在一年前已經開始分析第二個版本。通過取證分析發現,Regin有可能早在2006年就已經被激活。實際上,Regin這個名字并不是賽門鐵克的命名的,而是沿用了早就知道這種惡意軟件的安全圈內人的叫法。
如果這個軟件的確已經有8年的歷史,這將預示著設計該軟件的“民族國家”(Nation-states),已經獲得了避開最新的安全檢測產品的高超能力。(編者注:Nation-state,意指有著確定疆界和領土的,國民在文化、語言、民族認同感和信仰方面高度統一的國家)
賽門鐵克之所以等了將近一年的時間,才公開Regin的討論,是因為分析這個軟件是一件非常困難的工作。除了單點鏈接執行(執行完一個階段后才會執行下一階段),它還使用了對等通信技術(P2P),而不是中央控制系統來盜竊數據。
該軟件由哪個國家開發,賽門鐵克并未指出,也沒有說明所有的受害者是如何感染上Regin的。至今為止只提到了一臺計算機,通過雅虎的即時通信軟件被感染。有可能是該用戶點擊了即時通信軟件發過來的惡意鏈接,但更有可能的是Regin的控制者掌握了雅虎軟件的漏洞,無需用戶的操作就能感染他的計算機。
“從對計算機所做的一切來看,這是一種非常高級的威脅,”賽門鐵克研究人員O’ Murchu表示。“我們認為在把自身安裝到目標計算機的這一過程上,這些攻擊有著非常高級的手段。”
某些跨國的電信企業尤其受到Regin的關注。攻擊者似乎得到了GSM手機基站的登錄憑證,通過登錄這些基礎設施,改變手機基站的配置,實施對電話和通信設備的訪問和監控。
“我們并不認為Regin是針對企業的網絡犯罪行為,”O’ Murchu說道。“它更像是間諜行為。”