Regin, die RAT verwendet gegen "Google Russian" Yandex

(Di Francesco Rugolo)
17 / 07 / 19

In der Welt der Computersicherheit können die potenziellen Risiken für Unternehmen und Institutionen in Form von Malware e Toolkit Sie sind zahlreich und weit verbreitet.
Expertengruppen, die häufig von Regierungen zur Überwachung und Spionage gesponsert werden, führen einen Krieg, der nur die Mittel hat, mit denen er geführt wird, aber mehr als nur greifbare Auswirkungen hat. Dies wurde beim Angriff auf den Iran durch Malware bewiesen Stuxnet (v.articolo).

Auch von den Machern von Stuxnet, nämlich von der mit der NSA verbundenen IT-Spionagegruppe (National Security Agency), stammt einer der angeblich aus Toolkit komplexer und mächtiger wurde in den letzten Jahren die sogenannte Regin.

Regin wird als RAT (Remote Access Trojaner) eingestuft und wurde im Herbst von verschiedenen Computersicherheitsunternehmen wie Kaspersky Labs und Symantec entdeckt, obwohl 2013 bereits vorhanden und aktiv war.

Die erste Verwendung von Regin ist datiert 2008 mit seiner 1.0-Version, aktiv bis 2011. In der 2013 kehrt es mit einer neuen 2.0-Version zurück, auch wenn über mögliche Zwischenversionen spekuliert wird, die während dieser zwei Jahre Pause aktiv sind.

Das Besondere an dieser Software ist die unglaubliche Fähigkeit, sich an das Ziel anzupassen. oft Institutionen und Unternehmen. Regin hat einen großen Prozentsatz von Internet Service Providern und Telekommunikationsunternehmen in Russland und Saudi-Arabien getroffen, aber auch Probleme für europäische Institutionen und Unternehmen verursacht.

Aber wie geht das? Regin Wie wird es verwendet, um sensible Informationen zu verwenden, um so effektiv zu sein?

Regin verfügt über verschiedene Funktionen, die hauptsächlich zum Überwachen und Stehlen von Informationen wie Kennwörtern und anderen Dateitypen verwendet werden. Sie können Screenshots erstellen, die Maus- und Tastaturfunktionen steuern, den Datenverkehr in einem Netzwerk überwachen usw.

Die Softwarearchitektur ist komplex und modular und in 6-Stufen unterteilt. Nachfolgend finden Sie einen Link zum Symantec-Dokument, in dem die Architektur des Frameworks unter Bezugnahme auf die Art der Verschlüsselung und die verwendeten Protokolle ausführlich erläutert wird (Link).

Die Regin-Infektionsvektoren sind gerade wegen ihrer Fähigkeit, in verschiedenen Situationen an verschiedene Ziele angepasst zu werden, unklar. In einem Fall war der Infektionsvektor die Anwendung Yahoo! Instant Messengerin anderen fällen usb infiziert.

Die Aktivität von Regin es hört nicht nur bei den 2008-2011- und 2013-2014-Jahren auf, sondern geht bis heute, mit einem letzten großen Angriff gegen den russischen Riesen Yandex am Ende von 2018.

Wir haben immer noch nicht alle notwendigen Informationen, um zu kämpfen und uns zu identifizieren Regin, der es schafft, monatelang unbemerkt in einem Netzwerk zu bleiben, bevor er entdeckt wird.

Dies macht uns verständlich, wie komplex die Software ist und welche Bedeutung sie für das Umfeld der Computerspionage hat. Dieses Umfeld ist heute mehr denn je Schauplatz von Kriegen, die die Macht haben, Unternehmen, Institutionen und ganze Nationen zu beeinflussen.

Quellen:

https://www.symantec.com/it/it/outbreak/?id=regin

https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/

https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-y...

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX