SER ALT: Den nyoppdagete spionprogramvaren Regin ser det meste som foregår på de infiserte systemene. (Foto: iStock)

Svært avansert spionprogram

Snapper opp skjermbilder, musebevegelser, tastetrykk, overvåker nettverkstrafikk og finner slettete filer.

Publisert Sist oppdatert

Datasikkerhetsselskapet Symantec publiserte i helgen en rapport om et svært avansert spionprogram som heter «Regin». Programmet demonstrerer en grad av teknisk kompetanse som selskapet mener er sjelden å se, og Symantec skriver i bloggen sin at kapabilitetene og ressursene som ligger bak, indikerer at Regin er utviklet av en nasjonalstat.

Rapporten presenterer Regin slik: «I malware og skadevare-verdenen ser man kun få sjeldne eksempler på noe som er banebrytende og uten sidestykke. Det vi har sett av Regin er akkurat av denne klassen».

Modulær trussel

Regin er en svært avansert trojaner som åpner opp en bakdør inn til det infiserte systemet. Totalt består programvaren av seks trinn, der kun det første trinnet er åpent – de resterende fem trinnene i programvaren er skjult og kryptert. Hvert av trinnene avslører lite av innholdet i den totale pakken, slik at det er kun når alle komponentene er samlet opp det er mulig å analysere hva pakken gjør.

I tillegg er Regin modulær, og kan bære skreddersydde komponenter for de spesifikke målene programvaren er ute etter. Enkelte av disse modulene er svært avanserte, og krever en høy grad av spesialistkunnskap, noe som ytterligere viser hvilke ressurser som er tilgjengelig for de som står bak programvaren.

I standardegenskapene til Regin er fjerntilgang til systemet, inklusive å ta skjermbilder fra systemet, ta kontroll over mus og tastatur, stjele passord, overvåke nettverkstrafikk og gjenvinne slettete filer.

I tillegg har sikkerhetsforskerne til Symantec sett at Regin har «dusinvis» av spesiallagde komponenter. Her har en trafikkmonitor for Microsoft Internet Information Server (IIS) og en sniffer for trafikken til administrasjonssystemet for basestasjoner i mobilnettverk blitt observert.

Svært godt skjult

Symantec skriver at utviklerne av Regin har gått svært langt i å gjøre programvaren vanskelig å spore. Den motsetter seg analyse og legger fra seg få spor; bruker få filer, men gjemmer seg heller i maskinens register; den bruker sitt eget innebygde krypterte virtuelle filsystem (EVFS) som bruker en sjelden variant av RC5 kryptering.

I tillegg kommuniserer Regin ved hjelp av flere sofistikerte metoder, blant annet ved hjelp av ICMP/Ping, ved å plassere kommandoer inni HTTP informasjonskapsler («cookies»), i tillegg til sine egne UDP/TCP-protokoller.

Aktiv minst siden 2008

Symantec skriver at Regin er et svært komplekst verktøy for systematisk datainnsamling og overvåking. Utviklingen av programvaren må ha tatt måneder, om ikke år. Selskapet mener derfor at dette peker mot at det er en nasjonalstat som står bak programvaren.

Regin har vært observert i en rekke forskjellige organisasjoner mellom 2008 og 2011, da programvaren brått ble trukket tilbake. Deretter dukket en ny versjon av programmet opp igjen i 2013, som har vært i bruk siden. Programvaren har vært sett i private bedrifter, myndighetsorganer og forskningsinstitusjoner, i tillegg til i småbedrifter og hos privatpersoner. Det har også vært observert angrep mot teleoperatører, der det ser ut som målet har vært å skaffe tilgang til samtaler som har blitt transportert gjennom infrastrukturen.

Litt over halvparten av observasjonene av Regin har vært i Russland og Saudi Arabia. I tillegg har programvaren vært sett i Mexico, Irland, India, Afghanistan, Iran, Belgia, Østerrike og Pakistan.

Du finner hele whitepaperet om Regin på Symantecs nettside.