ค้นพบ Regin สปายแวร์ซับซ้อนระดับบน
BBC Technology, 24 พ.ย. 2557 : ผู้ชม 4565
BBC โปรแกรมคอมพิวเตอร์สอดแนม ซับซ้อน และ ลึกลับ มากได้ขโมยข้อมูลจากผู้ให้บริการอินเทอร์เน็ต, บริษัทพลังงาน, สายการบิน และห้องปฏิบัติการวิจัยและพัฒนา Symantec บริษัทรักษาความปลอดภัยพูดถึงเรื่องนี้ BBC – โปรแกรมคอมพิวเตอร์สอดแนม “ซับซ้อน” และ “ลึกลับ” มากได้ขโมยข้อมูลจากผู้ให้บริการอินเทอร์เน็ต, บริษัทพลังงาน, สายการบิน และห้องปฏิบัติการวิจัยและพัฒนา Symantec บริษัทรักษาความปลอดภัยพูดถึงเรื่องนี้
Symantec กล่าวว่า ด้วย “ระดับของความสามารถทางเทคนิคที่ไม่ค่อยเห็น” Regin ได้รับอาจจะใช้เวลาหลายปีในการพัฒนา และรัฐบาลบางประเทศอาจจะเขียนขึ้นเพื่อตอบสนองความต้องการของการสอดแนม
Symantec กล่าวว่าโปรแกรมได้ถูกนำมาใช้ใน “แคมเปญการสอดแนมระบบ” มากกว่าหกปีที่ผ่านมา
Regin มุ่งเป้าไปที่ผู้ใช้ Windows แทรกซึมช้าเข้าไปอยู่ในเป้าหมาย ระวังแต่ละขั้นตอนเพื่อซ่อนร่องรอย
“ส่วนประกอบหลายส่วนของ Regin ยังคงไม่ได้เปิดเผยและส่วนทำงานเพิ่มเติมและรุ่นที่อาจจะมีอยู่” บริษัท บอกเพิ่มเติม
“การออกแบบโปรแกรมทำให้เหมาะสมมากสำหรับการซ่อนตัวถาวร ดำเนินงานเฝ้าระวังในระยะยาวกับเป้าหมาย”
Jason Steer ผู้อำนวยการฝ่ายกลยุทธ์เทคโนโลยีที่ บริษัทรักษาความปลอดภัย FireEye กล่าวว่า “ประเภทของชุดเครื่องมือเหล่านี้มีอยู่ไม่กี่ปีนี้เอง”
เขากล่าวเสริมว่า "นี่เป็นความท้าทายกับอุตสาหกรรมการรักษาความปลอดภัยทั้งหมด ถึงวิธีที่พวกเขาจะค้นหาชิ้นส่วนอันตรายและมีความซับซ้อนของคำสั่งเหล่านี้”
บริษัทรักษาความปลอดภัยได้ดีในการจำสิ่งต่างๆ แม้ว่า Regin และตระกูลนี้ถูกสร้างขึ้นเพื่อหลอกเครื่องมือทันสมัยที่ใช้มองหาโปรแกรมที่เป็นอันตรายและติดตามการทำงานเพื่อจับจุดน่าสงสัย เทคนิคของ Regin ใช้การแอบไปยังเครือข่ายและการสื่อสารกับผู้สร้างที่มีความซับซ้อนมาก
Vikram Thakur จาก Symantec กล่าวว่า “เราไม่เชื่อว่าโปรแกรมนี้จะถูกนำมาใช้ ... สำหรับการสอดแนม”
“โปรแกรมนี้เห็นได้อย่างชัดเจนว่าเขียนโดยคนที่มีมากขึ้นกว่าการทำเงินในใจ” เขากล่าว
Steer กล่าวว่า เคล็ดลับเกี่ยวกับ Regin และภัยคุกคามที่มีความซับซ้อนในทำนองเดียวกัน มักจะมาจากหน่วยงานภาครัฐที่จับตาบนความสามารถในการสอดแนมในโลกไซเบอร์ของทั้งประเทศที่เป็นมิตรและศัตรู
การกู้คืนไฟล์
เหยื่อได้รับการติดเชื้อผ่านทางเว็บไซต์ปลอมที่รู้จักกันดีและใช้ประโยชน์จากช่องโหว่ในเว็บเบราว์เซอร์ Symantec กล่าวในการวิเคราะห์รายละเอียด
ใน blogpost บริษัทรักษาความปลอดภัย F-Secure กล่าวว่า ได้พบ Regin เป็นครั้งแรกในปี 2552 หลังจากการตรวจสอบสิ่งที่ทำให้เครื่องแม่ข่ายบนเครือข่ายแห่งหนึ่งที่ลูกค้ามีความผิดพลาดซ้ำแล้วซ้ำเล่า การตรวจสอบใกล้ชิดเปิดเผยว่าผู้กระทำผิดคือ Regin ซึ่งเป็นความพยายามที่จะแทรกตัวเองเข้าไปในหัวใจของซอฟต์แวร์ควบคุมเครื่องแม่ข่าย
ประธานเจ้าหน้าที่ฝ่ายวิจัย Mikko Hypponen กล่าวว่า “การหามัลแวร์ที่มีความสามารถนี้หายากมาก เรายังคงพลาดส่วนใหญ่ของปริศนา”
“แต่เห็นได้ชัดว่า นี่เป็นมัลแวร์ที่มีความซับซ้อนมากที่เขียนขึ้นโดยมีอุปกรณ์ครบครันระดับรัฐบาล” เขาเสริมว่า มัลแวร์ไม่ได้มีลักษณะที่จะเกิดขึ้นในประเทศจีนหรือรัสเซีย สถานที่ที่น่าสงสัย ถึงการสร้างโปรแกรมอื่น ๆ อีกมากมายเกี่ยวกับขโมยและสอดแนม
บริษัทรักษาความปลอดภัย Kaspersky Lab กล่าวว่า ได้เห็น Regin ที่ใช้ในการแทรกซึมเข้าไปในเครือข่ายและขโมยข้อมูล หนึ่งในการโจมตีของ Regin เป็นการใช้ในการรวบรวมรายละเอียดการบริหารสำหรับเครือข่ายโทรศัพท์มือถือในตะวันออกกลาง ทำให้ผู้โจมตีสามารถควบคุมระบบ
Symantec กล่าวว่าได้จับ Regin ชุดแรกในองค์กรจำนวนไม่มาก ระหว่างปี 2551 และ 2554
ไม่นานหลังจากนั้น ปรากฏว่ามัลแวร์ได้รับการถอน แต่รุ่นใหม่ที่พบในปี 2556 ตอนนี้ถูกนำมาใช้อย่างแข็งขัน เพียงประมาณ 100 รายได้รับการระบุว่าติด Regin
มีความเชื่อว่า Regin ความสามารถในการ:
- การเข้าถึงคอมพิวเตอร์ของเหยื่อจากระยะไกล
- ใช้หน้าจอ
- ควบคุมเมาส์
- ขโมยข้อมูล
- กู้คืนไฟล์ที่ถูกลบ
Symantec กล่าวว่า Regin มีลักษณะร่วมกันจำนวนมากกับโปรแกรมที่เป็นอันตรายอื่น ๆ เช่น Flame, Duqu และ Stuxnet ที่คิดว่าได้รับการเขียนโดยระดับรัฐบาลที่จะช่วยความพยายามในการสอดแนมของพวกเขา
|