• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Шпионский вирус Regin

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,290
Симпатии
4,829
#1


По сообщениям Financial Times, в Интернете появился шпионский вирус Regin, направленный против России и Саудовской Аравии. Издание не исключает, что этим вирусом могут управлять западные спецслужбы.

Одна из ведущих мировых фирм по производству антивирусных программ – компания Symantec – дала свои комментарии относительно вируса. Regin был назван самой совершенной в мире шпионской программой, сообщает ТАСС. Symantec сравнила Regin с червем Stuxnet, нанесшим в 2010 году вред ядерной программе Ирана. Однако Regin более совершенен, подчеркнули специалисты. Они определили, что вирус поразил компании связи и интернет-провайдеров России, Саудовской Аравии, Мексики, Ирландии, Ирана.

Специалисты пока не могут сказать, каким образом программа поражает корпоративные системы. Однако известно, что вирус позволяет прослушивать переговоры по мобильным телефонам и просматривать электронную почту с серверов Microsoft.

Иногда, будучи обнаруженным, вирус бесследно исчезает "сам по себе". Это дает экспертам Symantec подозревать, что за разработкой программы стоят спецслужбы.
источник
 

Mila

Основатель
Сообщения
4,949
Симпатии
10,469
#2
Отличие Regin от другого знаменитого вируса – Stuxnet в том, что задачей первого является сбор информации, а второго – уничтожение оборудования.
После установки на компьютер вирус Regin, может красть пароли и личную информацию, делать снимки экрана, восстанавливать стертые файлы, и пересылать личные электронные письма на другие адреса. Программа уже проникла на почтовые сервера компании Microsoft.
Посмотрим...
 

-SEM-

Активный пользователь
Сообщения
114
Симпатии
99
#3
...ранее уже сообщалось, что АНБ США тесно сотрудничает со многими сетевыми корпорациями, включая Microsoft, Google, Yahoo, Facebook, PalTalk, Skype, AOL, YouTube, Apple. Microsoft предоставили сотрудникам АНБ возможность обходить фирменную криптографическую защиту для того, чтобы получить исчерпывающую информацию о любом пользователе, имеющем выход в интеренет...
Зачем вирус писать, если и так все открывается секретным ключиком)?
 

petr-ru

Пользователь
Сообщения
62
Симпатии
31
#4
Прям невооруженным глазом видно, что Симантеки писали обзор на скорую руку - сильно на скорую, лишь бы выложить инфу, словно их кто-то подгонял - это первое. Второе - сказать то, что "исследование" куцое - ничего не сказать, и самое главное - третье: складывается ощущение, что к ним в руки попал (чуть ли не вместе с сорцами) набор зловредов для атак, они его чуть разобрали и написали обзорчик, поясню: все файлы супер-древние (из тех, о которых речь) - им по 3-4 года (!!!). О каких супер-технологиях может идти речь? Они даже на современную ось не встанут, имхо.

Если брать на вооружение (сейчас это модно) исследование дат компиляции (поле в пе-заголовке), то выйдет, что файлы компилили, когда в США была ночь. Это ни о чем не говорит вообще (осознаю это), просто "для галочки" упомянул об этом.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#5

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,290
Симпатии
4,829
#6

Phoenix

Активный пользователь
Сообщения
2,090
Симпатии
2,035
#7
Они даже на современную ось не встанут, имхо.
Есть старые программы, которые отлично работают на самых последних версиях систем. Так что вполне и может обновляется ещё бэкдор.
А кстати, что там на "лини фронта" ? А то у меня с сетью прямо беда. Фильмы не возможно смотреть, а принудительно торенты и ДМ-ы качают на полной скорости.

А то ведь получается каждый 3-4 -ые устройства/ПК заражены.. o_O
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#8
И ни слова об этом
И сюда политику пропихнула, эта
Да. И не только эта "компашка". Вот с сайта нашей Safensoft еще одна недавняя новость, которую я не стал публиковать.
Но сравнить с тем, что наприправили в данном случае, можно.
А то ведь получается каждый 3-4 -ые устройства/ПК заражены..
Скорее - так или иначе подверглись данной угрозе.

Так что вполне и может обновляется ещё бэкдор.
Еще и PDF-документ
http://www.symantec.com/content/en/...urity_response/whitepapers/regin-analysis.pdf
 
Последнее редактирование:

Phoenix

Активный пользователь
Сообщения
2,090
Симпатии
2,035
#9
Вот ещё подброшу-
Особенно интересный случай был обнаружен в одной из средневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета, и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

Всего удалось обнаружить 27 различных жертв Regin, расположенных в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, России и Сирии. Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.

- See more at:
Немного не в тему, но..
По данным издания, по крайней мере один из пользователей Reddit сообщил о таком виде заражения своего компьютера. Человек, который стал жертвой хакерской атаки, заявил, что приобрел электронную сигарету, которая была произведена в Китае. В результате, после присоединения к ПК для зарядки сигарета инфицировала компьютер. - See more at: http://threatpost.ru/2014/11/24/elektronnye-sigarety-ispolzuyutsya-hakerami-dlya-vzloma-pk
https://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#10
что затрудняет определение того, какая страна стоит за этой атакой.
Все дороги ведут в одну, которая всегда чужими руками вершит свою "демократию".
У других просто нет средств.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,431
Симпатии
5,286
#11
SNS-amigo, спасибо. Занятное чтиво.
Внедрение в адресное пространство служб.
Драйвера, хранимые в расширенных атрибутах NTFS, блоках реестра.
Виртуальная файловая система.
Сетевой фильтр.
RC5-шифрование везде, где можно и нельзя.
P2P, ICMP, UDP, ... на любой вкус. Все в лучших традициях спецслужб.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,195
Симпатии
8,507
#12
Dragokas, да, и все это пришлось ужать до размеров простого отчета и PDF-документа.
А сколько еще осталось за кадром...
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,431
Симпатии
5,286
#14
@Dragokas, да, и все это пришлось ужать до размеров простого отчета и PDF-документа.
PDF документы часто сами бывают громадные, так что спрятать не особая проблема.
Больше внимания нужно на обеспечение эксплуатации уязвимости.
Хотя если автообновление отключено, эта задача также упрощается.
 

petr-ru

Пользователь
Сообщения
62
Симпатии
31
#16
А, ну все как я и сразу и сказал - откопали баян многолетней давности и начали им размахивать наперегонки, причем интересно, что ЛК как и я тоже обратили внимание на таймстампы (к слову: на хабре в комментах хабраюзеры устроили дикий срач по поводу времени там к этой новости - как-то совсем там у людей плохо с этим полем в пе-заголовке и его форматом :Acute:).
А то, как выглядит этот зловред сейчас (какова его современная версия) либо не знают, либо не говорят, вот так
 

Phoenix

Активный пользователь
Сообщения
2,090
Симпатии
2,035
#17
http://www.zeit.de/digital/2014-12/virus-spionage-kanzleramt
Laut dem Zeitungsbericht hatte die enge Mitarbeiterin von Kanzlerin Angela Merkel (CDU) an einem Redemanuskript gearbeitet, das sie nach Dienstschluss nach Hause mitnahm und dort auf ihrem privaten Laptop weiterbearbeitete. Anschließend speicherte sie das Dokument wieder auf ihrem privaten USB-Stick und brachte es damit zurück auf ihren Dienstlaptop. Als der Viren-Scanner Alarm schlug, wurde festgestellt, dass der USB-Stick mit der Spionage-Software Regin verseucht war. Eine Überprüfung aller Hochsicherheitslaptops im Kanzleramt habe aber keine weiteren Viren offenbart.
Согласно докладу газеты, близкий соратник канцлера Ангелы Меркель (ХДС), работал над речевой рукописи, которую она забрала домой после работы, и далее обрабатывается там, на их собственный ноутбук. Тогда они сохранили документ обратно в ее личной памяти USB и принес его обратно, так что их ноутбук обслуживание. Когда антивирус забили тревогу, было установлено, что флешка была заражена шпионским Регина.Обзор всех ноутбуков с высоким уровнем безопасности в Канцелярии но не раскрывается никаких других вирусов.