In der Welt der Computersicherheit können die potenziellen Risiken für Unternehmen und Institutionen in Form von Malware e Toolkit Sie sind zahlreich und weit verbreitet.
Expertengruppen, die häufig von Regierungen zu Überwachungs- und Spionagezwecken gesponsert werden, führen einen virtuellen Krieg, der nur die Mittel hat, mit denen er geführt wird, aber mehr als greifbare Auswirkungen hat. Dies wurde während des Angriffs auf den Iran durch Malware nachgewiesen Stuxnet (v.articolo).
Auch von den Machern von Stuxnet, nämlich von der mit der NSA verbundenen IT-Spionagegruppe (National Security Agency), stammt einer der angeblich aus Toolkit komplexer und mächtiger wurde in den letzten Jahren die sogenannte Regin.
Regin wird als RAT (Remote Access Trojan) eingestuft und im Herbst 2013 von verschiedenen Cybersicherheitsunternehmen wie Kaspersky Labs und Symantec entdeckt, obwohl es schon lange zuvor vorhanden und aktiv war.
Die erste Verwendung von Regin ist datiert 2008 mit seiner 1.0-Version, aktiv bis 2011. In der 2013 kehrt es mit einer neuen 2.0-Version zurück, auch wenn über mögliche Zwischenversionen spekuliert wird, die während dieser zwei Jahre Pause aktiv sind.
Das Besondere an dieser Software ist die unglaubliche Fähigkeit, sich an das Ziel anzupassen. oft Institutionen und Unternehmen. Regin hat einen großen Prozentsatz von Internet Service Providern und Telekommunikationsunternehmen in Russland und Saudi-Arabien getroffen, aber auch Probleme für europäische Institutionen und Unternehmen verursacht.
Aber wie geht das? Regin Wie wird es verwendet, um sensible Informationen zu verwenden, um so effektiv zu sein?
Regin verfügt über verschiedene Funktionen, die hauptsächlich zum Überwachen und Stehlen von Informationen wie Kennwörtern und Dateitypen verwendet werden. Sie können Screenshots erstellen, die Maus- und Tastaturfunktionen steuern, den Datenverkehr in einem Netzwerk überwachen usw.
Die Softwarearchitektur ist komplex und modular und in 6-Stufen unterteilt. Nachfolgend finden Sie einen Link zum Symantec-Dokument, in dem die Architektur des Frameworks unter Bezugnahme auf die Art der Verschlüsselung und die verwendeten Protokolle ausführlich erläutert wird (Link).
Die Regin-Infektionsvektoren sind gerade wegen ihrer Fähigkeit, in verschiedenen Situationen an verschiedene Ziele angepasst zu werden, unklar. In einem Fall war der Infektionsvektor die Anwendung Yahoo! Instant Messengerin anderen fällen usb infiziert.
Die Aktivität von Regin es hört nicht nur bei den 2008-2011- und 2013-2014-Jahren auf, sondern geht bis heute, mit einem letzten großen Angriff gegen den russischen Riesen Yandex am Ende von 2018.
Wir haben immer noch nicht alle notwendigen Informationen, um zu kämpfen und uns zu identifizieren Regin, der es schafft, monatelang unbemerkt in einem Netzwerk zu bleiben, bevor er entdeckt wird.
Dies lässt uns die Komplexität der Software und die Bedeutung verstehen, die sie in der Cyberspionage-Umgebung spielt. Diese Umgebung ist heute mehr denn je Schauplatz von Kriegen, die die Macht haben, Unternehmen, Institutionen und ganze Nationen zu beeinflussen..
Quellen:
https://www.symantec.com/it/it/outbreak/?id=regin
https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/
https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-y...
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
