Det trojanske spionprogram Regin kan kun sammenlignes med de mest avancerede trusler, som hidtil er fundet. Programmet er i samme kategori som Stuxnet, Duqu og Flame, lyder det fra sikkerhedsfirmaerne Symantec og Kaspersky, som har analyseret programmet.
»Den er meget avanceret. Det er sjældent, vi ser noget i den kaliber. Der er brugt lang tid på at udvikle den, og det har krævet specialviden,« siger sikkerhedskonsulent Peter Schjøtt fra Symantec til Version2.
Regin kan ifølge Symantec spores tilbage til 2008, men Kaspersky mener, at dele af programmet har rødder helt tilbage til 2003. Begge firmaer er enige om, at det har taget flere år at udvikle Regin, og har krævet væsentlige ressourcer.
Det er derfor nærliggende at mistænke en organisation med betydelige ressourcer i ryggen, som eksempelvis en efterretningstjeneste. Ifølge The Intercept har kilder hos teleselskabet Belgacom og EU bekræftet, at Regin er blevet fundet hos de to organisationer i kølvandet på hackerangreb.
Det er interessant, fordi hacking af EU og Belgacom har været omtalt i dokumenter, som Edward Snowden har lækket, men den anvendte malware var ikke identificeret. Hvis de to oplysninger lægges sammen, tegner der sig altså et billede af, at Regin kan være udviklet af én af de efterretningstjenester, som NSA samarbejder med.
Regin er ifølge Symantec kun fundet på omkring 100 pc’er, og selvom der formentligt er angreb, som ikke er blevet opdaget, så er der tale om målrettede angreb mod udvalgte organisationer.
»Det har ikke været rettet mod almindelige forbrugere. Det er langt mere komplekst software, end noget vi normalt ser. Det har været nogle ganske få maskiner, som man har villet overvåge,« siger Peter Schjøtt.
De målrettede angreb afspejler sig også i den komplekse arkitektur, der ligger bag Regin. Softwaren er opbygget, så den angriber i fem trin, hvor kun det første er umiddelbart læsbart. Resten er krypteret. Den anvender også kryptering og et virtuelt filsystem til at gemme de data, der bliver indsamlet.
Derudover er Regin opbygget af moduler, så det samme skelet kan bruges til forskellige formål. Blandt moduler er blandt andet indsamling af data fra GSM-basestationskontrolsystemer.
Det har sandsynligvis været anvendt til at overvåge udvalgte mobiltelefoner, uden teleoperatøren opdagede det. Dette angreb har blandt andet været anvendt mod Ericsson-udstyr hos en teleoperatør i Mellemøsten.
Ifølge Kaspersky har den belgiske krypteringsekspert Jean Jacques Quisquater også været genstand for et angreb.
Dermed skiller målene for angrebene sig også ud i forhold til mere almindelig malware mod forbrugere, som typisk går efter kreditkortoplysninger og login-oplysninger, men også fra mere almindelig industrispionage.
Regin har eksisteret i flere versioner, hvoraf sikkerhedsfirmaerne hidtil har fundet flest angreb med den første udgave, som begyndte i 2008.
»De holdt op med at bruge version 1 i 2011, men vi formoder, at der måske også er en version 3, som sandsynligvis er aktiv,« siger Peter Schjøtt.
En stor del af energien i Regin er lagt i at holde den skjult, når den først er inde på systemet. Brugen af kryptering betyder også, at det har været svært at gennemskue, hvad programmet gør, og hvilke dele det består af.
I 2009 fandt F-Secure eksempelvis en kopi af Regin på en Windows-server, hvor den lå skjult som en driver, der udløste en fejl, der gav blå skærm. Men det var altså ikke nok til at give det fulde billede af spionprogrammet.
»Det har været vigtigt at sørge for ikke at blive opdaget. De data, der er blevet opdaget, er der også gjort meget for at sørge for få til at flyve under radaren,« siger Peter Schjøtt.
Eksempelvis har Regin anvendt tilpassede udgaver af TCP og UDP protokollerne til at sende data ud, ligesom den også har skjult kommunikation som Ping-trafik.
Ifølge Kaspersky har Regin været opdaget af antivirusprogrammer siden 2011, hvilket formentligt har været grunden til, at man skiftede til en ny version. Ny angreb er observeret så sent som i foråret 2014, hvor den har været udbygget til også at kunne inficere 64 bit-udgaver af Windows.
Leave a Reply