Шпионский вирус Regin

Тема в разделе "Новости информационной безопасности", создана пользователем shestale, 24 ноя 2014.

  1. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    [​IMG]

    По сообщениям Financial Times, в Интернете появился шпионский вирус Regin, направленный против России и Саудовской Аравии. Издание не исключает, что этим вирусом могут управлять западные спецслужбы.

    Одна из ведущих мировых фирм по производству антивирусных программ – компания Symantec – дала свои комментарии относительно вируса. Regin был назван самой совершенной в мире шпионской программой, сообщает ТАСС. Symantec сравнила Regin с червем Stuxnet, нанесшим в 2010 году вред ядерной программе Ирана. Однако Regin более совершенен, подчеркнули специалисты. Они определили, что вирус поразил компании связи и интернет-провайдеров России, Саудовской Аравии, Мексики, Ирландии, Ирана.

    Специалисты пока не могут сказать, каким образом программа поражает корпоративные системы. Однако известно, что вирус позволяет прослушивать переговоры по мобильным телефонам и просматривать электронную почту с серверов Microsoft.

    Иногда, будучи обнаруженным, вирус бесследно исчезает "сам по себе". Это дает экспертам Symantec подозревать, что за разработкой программы стоят спецслужбы.
    источник
     
    Охотник, SNS-amigo, Dragokas и 5 другим нравится это.
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Отличие Regin от другого знаменитого вируса – Stuxnet в том, что задачей первого является сбор информации, а второго – уничтожение оборудования.
    После установки на компьютер вирус Regin, может красть пароли и личную информацию, делать снимки экрана, восстанавливать стертые файлы, и пересылать личные электронные письма на другие адреса. Программа уже проникла на почтовые сервера компании Microsoft.
    Посмотрим...
     
  3. -SEM-
    Оффлайн

    -SEM- Пользователь

    Сообщения:
    111
    Симпатии:
    93
    ...ранее уже сообщалось, что АНБ США тесно сотрудничает со многими сетевыми корпорациями, включая Microsoft, Google, Yahoo, Facebook, PalTalk, Skype, AOL, YouTube, Apple. Microsoft предоставили сотрудникам АНБ возможность обходить фирменную криптографическую защиту для того, чтобы получить исчерпывающую информацию о любом пользователе, имеющем выход в интеренет...
    Зачем вирус писать, если и так все открывается секретным ключиком)?
     
    fseto и shestale нравится это.
  4. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Прям невооруженным глазом видно, что Симантеки писали обзор на скорую руку - сильно на скорую, лишь бы выложить инфу, словно их кто-то подгонял - это первое. Второе - сказать то, что "исследование" куцое - ничего не сказать, и самое главное - третье: складывается ощущение, что к ним в руки попал (чуть ли не вместе с сорцами) набор зловредов для атак, они его чуть разобрали и написали обзорчик, поясню: все файлы супер-древние (из тех, о которых речь) - им по 3-4 года (!!!). О каких супер-технологиях может идти речь? Они даже на современную ось не встанут, имхо.

    Если брать на вооружение (сейчас это модно) исследование дат компиляции (поле в пе-заголовке), то выйдет, что файлы компилили, когда в США была ночь. Это ни о чем не говорит вообще (осознаю это), просто "для галочки" упомянул об этом.
     
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    Охотник и shestale нравится это.
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    И ни слова об этом
    И сюда политику пропихнула, эта
     
    SNS-amigo нравится это.
  7. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Есть старые программы, которые отлично работают на самых последних версиях систем. Так что вполне и может обновляется ещё бэкдор.
    А кстати, что там на "лини фронта" ? А то у меня с сетью прямо беда. Фильмы не возможно смотреть, а принудительно торенты и ДМ-ы качают на полной скорости.
    [​IMG]
    А то ведь получается каждый 3-4 -ые устройства/ПК заражены.. o_O
     
    Последнее редактирование: 24 ноя 2014
    Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    Да. И не только эта "компашка". Вот с сайта нашей Safensoft еще одна недавняя новость, которую я не стал публиковать.
    Но сравнить с тем, что наприправили в данном случае, можно.
    --- Объединённое сообщение, 24 ноя 2014 ---
    Скорее - так или иначе подверглись данной угрозе.

    Еще и PDF-документ
    http://www.symantec.com/content/en/...urity_response/whitepapers/regin-analysis.pdf
     
    Последнее редактирование: 24 ноя 2014
    Охотник, -SEM-, Dragokas и ещё 1-му нравится это.
  9. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    Вот ещё подброшу-
    Особенно интересный случай был обнаружен в одной из средневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета, и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

    Всего удалось обнаружить 27 различных жертв Regin, расположенных в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, России и Сирии. Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.

    - See more at:
    --- Объединённое сообщение, 24 ноя 2014 ---
    Немного не в тему, но..
    По данным издания, по крайней мере один из пользователей Reddit сообщил о таком виде заражения своего компьютера. Человек, который стал жертвой хакерской атаки, заявил, что приобрел электронную сигарету, которая была произведена в Китае. В результате, после присоединения к ПК для зарядки сигарета инфицировала компьютер. - See more at: http://threatpost.ru/2014/11/24/elektronnye-sigarety-ispolzuyutsya-hakerami-dlya-vzloma-pk
    --- Объединённое сообщение, 24 ноя 2014, Дата первоначального сообщения: 24 ноя 2014 ---
    https://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf
     
    Охотник, SNS-amigo и Dragokas нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    Все дороги ведут в одну, которая всегда чужими руками вершит свою "демократию".
    У других просто нет средств.
     
    Охотник, -SEM- и Phoenix нравится это.
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.309
    SNS-amigo, спасибо. Занятное чтиво.
    Внедрение в адресное пространство служб.
    Драйвера, хранимые в расширенных атрибутах NTFS, блоках реестра.
    Виртуальная файловая система.
    Сетевой фильтр.
    RC5-шифрование везде, где можно и нельзя.
    P2P, ICMP, UDP, ... на любой вкус. Все в лучших традициях спецслужб.
     
    Охотник нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.903
    Dragokas, да, и все это пришлось ужать до размеров простого отчета и PDF-документа.
    А сколько еще осталось за кадром...
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    об этом показано на диаграмме: Figure 3. Confirmed Regin Infections by country
     
  14. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.493
    Симпатии:
    4.309
    PDF документы часто сами бывают громадные, так что спрятать не особая проблема.
    Больше внимания нужно на обеспечение эксплуатации уязвимости.
    Хотя если автообновление отключено, эта задача также упрощается.
     
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    не заметил))
     
  16. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    А, ну все как я и сразу и сказал - откопали баян многолетней давности и начали им размахивать наперегонки, причем интересно, что ЛК как и я тоже обратили внимание на таймстампы (к слову: на хабре в комментах хабраюзеры устроили дикий срач по поводу времени там к этой новости - как-то совсем там у людей плохо с этим полем в пе-заголовке и его форматом :Acute:).
    А то, как выглядит этот зловред сейчас (какова его современная версия) либо не знают, либо не говорят, вот так
     
  17. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.853
    Симпатии:
    1.837
    http://www.zeit.de/digital/2014-12/virus-spionage-kanzleramt
    Laut dem Zeitungsbericht hatte die enge Mitarbeiterin von Kanzlerin Angela Merkel (CDU) an einem Redemanuskript gearbeitet, das sie nach Dienstschluss nach Hause mitnahm und dort auf ihrem privaten Laptop weiterbearbeitete. Anschließend speicherte sie das Dokument wieder auf ihrem privaten USB-Stick und brachte es damit zurück auf ihren Dienstlaptop. Als der Viren-Scanner Alarm schlug, wurde festgestellt, dass der USB-Stick mit der Spionage-Software Regin verseucht war. Eine Überprüfung aller Hochsicherheitslaptops im Kanzleramt habe aber keine weiteren Viren offenbart.
     
    shestale нравится это.

Поделиться этой страницей