Обнаружен один из самых опасных троянцев в истории
Новости Безопасность
«Лаборатория Касперского» опубликовала анализ троянца Regin, который, по словам экспертов, является одной из самых опасных вредоносных киберплатформ в истории.
Как сообщают исследователи «Лаборатории Касперского», разрозненные следы Regin они встречали с 2012 года, на антивирусных сервисах периодически всплывали различные несвязанные между собой сэмплы с загадочным предназначением, некоторые из которых были созданы в 2003 году. Полноценно проанализировать атаку удалось лишь недавно.
Троянец Regin, названный так из-за того, что часть своих компонентов он хранит в реестре Windows (игра слов «in registry» – «regin»), атакует лишь самые важные цели из ограниченного списка категорий: телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и ученые, участвующие в математических и криптографических исследованиях. В частности, одной из жертв оказался знаменитый бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере сэмпл зловреда.
Исследователям так и не удалось определить способ, который применяют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было обнаружено никаких эксплойтов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права администратора. В некоторых случаях заражены были контроллеры домена Windows-сети.
Первый этап заражения заключается в проникновении на компьютер исполняемого файла, видов которого обнаружено очень много. Такое многообразие, по всей видимости, необходимо для затруднения обнаружения программы антивирусными инструментами. Другие компоненты вредоносной платформы, загружаемые после этого, хранятся напрямую на жестком диске (для 64-битных систем), или в расширенных атрибутах файловой системы NTFS (в 32-битных системах).
Программы второго этапа заражения обладают множеством функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальном файловым системам, и базовые функции связи и хранения модулей.
Исследователями было выявлено два основных направления работы Regin: сбор информации и обеспечение проведения атак других типов. В большинстве случаев злоумышленники, стоящие за Regin, крадут письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки.
Жертв Regin удалось обнаружить в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, России и Сирии.
Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
