Что такое вирус регин
Как считают специалисты Symantec, Regin – революционный вирус, который практически не имеет аналогов.
Как считают специалисты Symantec, Regin – революционный вирус, который практически не имеет аналогов. Это невероятно сложный компонент программы, отличающийся гибкостью своих возможностей в зависимости от цели, для атаки на которую его готовят. В его основе – особая структура, разработанная для обеспечения операций длительного скрытого сбора информации.
Regin имеет многоступенчатую модульную систему, позволяющую успешно атаковать разные типы целей. Нечто подобное было замечено в других изощренных группах вирусов Flamer и Weevil, а многоэтапная система загрузки архитектуры подобна Duqu/Stuxnet и другим.
Regin имеет сложную архитектуру. На начальных стадиях внедрения вируса происходит установка и конфигурация внутренних служб. Последующие этапы приводят в действие рабочую нагрузку вируса (основную функциональную часть программы).
Содержание и особенности этапов работы вируса Regin
Международная служба Symantec Security Response во время подготовки отчета не получила загрузчики Regin. Однако специалисты уверены, что в случае попадания файла загрузчика на целевой компьютер, он устанавливается и обеспечивает прохождение этапа 1. Скорее всего, этап 0 отвечает за установку различных расширенных атрибутов и/или ключей реестра, которые содержат закодированные версии этапов 2, 3 и, возможно, 4 и последующих этапов.
Происходит начальная загрузка. Известны 2 варианта имен файлов этапа: usbclass.sys и adpu160.sys. Это драйверы ядра, которые загружают и обеспечивают выполнение этапа 2. Могут быть занесены в реестр как системные службы.
Во время этапа 1 считывается и обеспечивается выполнение этапа 2 с помощью набора расширенных атрибутов NTFS.
В основе этого этапа – драйверы ядра, которые извлекают, устанавливают и запускают этап 3. Этап 2 не хранится в традиционной файловой системе, а зашифрован внутри расширенных атрибутов или ключа реестра двоичного типа. Этап 2 также скрывает следы запуска этапа 1.
Основан на драйвере ядра DLL и также не хранится в традиционной файловой системе. Файл зашифрован по аналогии с файлом этапа 2 и по размеру превышает его примерно в 6-7 раз. Обеспечивая загрузку и выполнение этапа 4, этап 3 также создает фреймворк для последующих этапов. Этап 3 и дальнейшие этапы основаны на модульной платформе программного модуля.
Файлы для этапа 4, загруженные во время этапа 3, состоят из модуля управления пользовательским режимом и многочисленных модулей полезной нагрузки ядра. Они находятся в двух хранилищах EVFS.
Состоит из основных функциональных элементов полезной нагрузки Regin. Файлы для этапа 5 внедряются в services.exe на этапе 4. Они также находятся в хранилищах EVFS.
Regin задействует библиотеки DLL, содержащиеся в хранилище EVFS SystemLog.evt. Варианты рабочей нагрузки могут отличаться в зависимости от цели атаки. Например: перехват информации сетевого трафика, кража паролей, сбор информации хранящейся в оперативной памяти, сведения о процессах.
Regin размещает файлы данных на диске в зашифрованном виде в виртуальной файловой системе EVFS. Файлы в хранилище EVFS зашифрованы при помощи вариации шифра RC5 с использованием 64-битных блоков и 20 раундов. Известны несколько расширений для хранилища EVFS: *.evt и *.imd. Структура хранилища аналогична файловой системе FAT, с тем отличием, что файлы не имеют имен, а идентифицируются с помощью двоичного тега.
Regin сохраняет все свои события в файле ApplicationLog.dat. Этот файл не храниться в EVFS, однако он также зашифрован и сжат.
Как видно из анализа, Regin наделен сложной многоступенчатой архитектурой, надежно шифрует следы своей работы и имеет множество возможностей, реализуемых во время атаки. Многие компоненты вируса до сих не были открыты и полный список его возможностей неизвестен.
Ученые обнаружили государственную шпионскую программу для атак на телекоммуникационные компании и бельгийского криптографа
Весной 2011 года Еврокомиссия обнаружила, что ее сеть взломана. Атака на законодательный орган ЕС была изощренной и масштабной, и для проникновения в ней использовался эксплойт нулевого дня. Когда хакеры проникли в сети и закрепились там, они начали длительную охоту. Они исследовали архитектуру сети в поисках новых жертв и умело заметали следы. Со временем им удалось заразить множество систем, принадлежащих Еврокомиссии и Европейскому совету, и обнаружили их очень нескоро.
Прошло два года, и хакерской атаке подверглась новая крупная мишень. На сей раз жертвой стала бельгийская телекоммуникационная компания с государственным участием Belgacom. В этом случае атака тоже была сложной и изощренной. Согласно опубликованным информационным сообщениям и документам, обнародованным Эдвардом Сноуденом, хакеры выбрали в качестве объекта нападения работавших на Belgacom системных администраторов, и используя их данные, получали доступ к маршрутизаторам, управляющим сотовой сетью этой телекоммуникационной компании. Belgacom публично признала факт нападения, но подробностями о хакерском взломе не поделилась.
Затем спустя пять месяцев появились новости об очередном крупном хакерском взломе. На сей раз злоумышленники нацелились на известного бельгийского криптографа Жан-Жака Кискатера (Jean-Jacques Quisquater).
Похоже, что на сей раз исследователи из сферы компьютерной безопасности нашли мощный инструмент цифрового шпионажа, который использовался во всех трех атаках. Компания Microsoft назвала его Regin. На сегодня выявлено более ста жертв его атак, однако их наверняка гораздо больше, просто пока они неизвестны. Дело в том, что вредоносная шпионская программа, способная брать под свой контроль целые сети и инфраструктуры, существует как минимум с 2008 года, возможно, и дольше, и создавалась она таким образом, чтобы долгие годы оставаться в компьютерах незамеченной.
Самая изощренная шпионская программа
Исследователи не сомневаются, что Regin – это программа государственного изготовления, и называют ее самой изощренной шпионской машиной из числа обнаруженных на сегодняшний день. Они считают, что данная программа даже сложнее мощной платформы Flame, обнаруженной Касперским и Symantec в 2012 году, и созданной той же самой командой, которая разрабатывала Stuxnet.
Атакам подвергаются не отдельные лица, а целые сети, среди которых есть множество компаний связи из самых разных стран, а также государственные ведомства, научно-исследовательские институты и ученые (особенно те, кто занимается передовыми математическими исследованиями и криптографией, как Кискатер). Symantec также выявила инфицированные отели. Скорее всего, там проникновение осуществляется для сбора данных из систем бронирования, поскольку они дают ценную информацию о приезжающих гостях.
В этом году появились сообщения прессы на основе обнародованных Эдвардом Сноуденом документов, которые указывают на две операции АНБ под кодовыми названиями MYSTIC и SOMALGET. В рамках этих операций осуществлялся взлом сетей мобильной связи в ряде стран с целью сбора метаданных о каждом телефонном звонке с мобильного устройства. И как минимум в двух странах осуществлялась тайная запись звонков, которая хранилась в базе данных. Страны, где осуществлялся сбор метаданных, это Мексика, Кения, Филиппины и Багамы. Страны, где велась полная запись звонков, это Багамы и Афганистан.
Путь к разоблачению
Вирус Regin впервые вышел в свет в 2009 году, когда кто-то загрузил его компоненты на вебсайт VirusTotal. VirusTotal – это бесплатный портал, где накапливаются данные с десятков антивирусных сканеров. Исследователь, да и вообще любой человек, нашедший у себя в компьютере подозрительный файл, может загрузить его на сайт, чтобы понять, считают ли его сканеры вредоносным.
Но в 2009 году эту загрузку, видимо, никто не заметил. И лишь 9 марта 2011 года Microsoft взяла ее на заметку. Было это в тот момент, когда на VirusTotal загружались новые файлы. Компания объявила, что начинает поиск трояна под названием Regin.А и включает элементы его поиска в свое программное обеспечение безопасности. На следующий день она сделала такое же объявление о вирусе под названием Regin.В. Кое-кто из компаний интернет-безопасности полагает, что загруженные в 2011 году на VirusTotal файлы могли попасть туда из Европейской комиссии или из фирмы безопасности, привлеченной к расследованию атаки.
Вервет не сообщил, когда началось проникновение, и как долго хакеры находятся внутри сети ЕС. Однако в обнародованных в прошлом году Сноуденом документах говорится об операциях АНБ, целью которых были Еврокомиссия и Европейский совет. Это были документы от 2010 года.
В настоящее время известно о двух версиях платформы Regin. Версия 1.0 относится как минимум к 2008 году, но она исчезла в 2011 году, когда Microsoft рассказала об особенностях поиска ее трояна. Версия 2.0 всплыла в 2013 году, хотя ее могли применять и раньше. Исследователи обнаружили ряд файлов Regin с временными метками от 2003 и 2006 года. Правда, точность этих меток может вызывать сомнения.
Как бы вирус ни попал в компьютер, свою атаку он проводит в пять этапов. На первых трех этапах проводится загрузка элементов для атаки и конфигурирование ее архитектуры, а на двух последних осуществляется информационное наполнение. Среди вариантов такого наполнения есть троян удаленного доступа, который дает хакеру возможность для тайного проникновения в зараженные системы, есть регистратор клавиатуры с анализатором буфера информационного обмена, анализатор паролей, модули сбора информации о USB-устройствах, подключенных к взломанной системе, а также модуль извлечения почтовых сообщений под названием U_STARBUCKS. Regin также может сканировать удаленные файлы и извлекать их.
Regin использует внедренный метод декодирования, поэтапно расшифровывая себя. Ключ к расшифровке каждого компонента находится в предшествующем ему компоненте. Поэтому аналитикам трудно исследовать угрозу в самом начале, поскольку у них нет всех компонентов и всех ключей.
Хакеры также используют сложную структуру связи, чтобы управлять крупными взломами в масштабах сети. Вместо того, чтобы связываться напрямую с командными серверами атакующего, каждая система связывается только с другими компьютерами в сети и с одним узлом сети, который выступает в роли концентратора для связи с командными серверами. Это уменьшает объем исходящего из сети трафика, а также число компьютеров, связанных с чужим сервером вне сети, который может вызвать подозрения. Это также дает возможность хакерам связываться с компьютерами внутри организации, которые даже не подключены к интернету.
Связи между зараженными компьютерами и сетями закодированы, и в каждом зараженном узле имеется публичный и конфиденциальный ключ для кодировки трафика, которым они обмениваются.
Но не менее серьезной была хакерская атака, проведенная в другой ближневосточной стране против сети GSM одной крупной неназванной компании связи. Исследователи Касперского говорят, что нашли журнал регистрации операций, использовавшийся хакерами для сбора команд и учетных записей на одной из базовых станций GSM. В этом журнале объемом около 70 Кбайт содержатся сотни команд, переданных на контроллер базовой станции в период с 25 апреля по 27 мая 2008 года. Пока неясно, сколько команд было отправлено администраторами компании и самим хакерами в попытке взять базовые станции под свой контроль.
Похоже, что все эти хакерские атаки с целью взлома и заражения сетей GSM и президентской сети продолжаются. Новости об атаке вируса Regin распространяются, и все новые фирмы компьютерной безопасности включают в свой инструментарий средства для его выявления. Но несомненно то, что число жертв этой шпионской программы будет увеличиваться.
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.
Новая коронавирусная инфекция продолжает ставить перед человечеством массу вопросов. Ответов на многие из них пока нет. Однако есть секреты, о которых мы уже знаем точно. Вирус – живая структура, но опасность его состоит совсем не в этом. Кто же виноват в возникновении мировой пандемии?
Как распространялся этот новый вирус, в чём его главная опасность, чего нам ждать дальше? Растёт или нет число бессимптомных пациентов с COVID-19 в России и мире? Наконец, кто же сделал эту пандемию возможной и как нам в будущем не повторить этого печального сценария? На эти и другие вопросы Царьграду ответил молекулярный биолог, доктор биологических наук, профессор, член-корреспондент РАН, заведующий лабораторией биотехнологии и вирусологии Факультета естественных наук Новосибирского государственного университета Сергей Нетёсов, руководивший наукой в центре "Вектор" на протяжении 17 лет.
– Сергей Викторович, известно, что вирусы гораздо древнее человека. Напрашивается вывод, что это мы скорее гости в их мире, чем они в мире людей. Так ли это?
– Если вы действительно оцените количество бактерий и вирусов, которые есть в природе, и сравните с населением нашей планеты, то бактерий в миллионы раз больше, чем людей. Они не могут управлять миром только потому, что у них нет – по крайней мере, мы сейчас так считаем – коллективного разума, как у нас. Зато у них есть эволюционные преимущества – они могут быстрее меняться, быстрее приспосабливаться к окружающим условиям. Но они совсем не настроены на то, чтобы человека убивать. Это человек сам создаёт для себя опасные условия для жизни.
Например, опасность очень большой плотности населения. Особенно это касается городов с численностью жителей в 10 миллионов человек и больше. Это просто опасно, потому что там становятся возможными очень редкие процессы. Нам нужно очень хорошо думать о том, как жить дальше в такой кучности.
– Сейчас много говорят о том, что новый коронавирус имеет не природное, а рукотворное происхождение. Почему считается, что он всё-таки природный?
– Природный он или искусственный – не имеет значения для борьбы с ним. Но это имеет большое значение в смысле экспериментов, которые можно проводить. Дело в том, что в мире уже более 10 лет проводятся эксперименты, которые имитируют природную эволюцию. И такие эксперименты, на самом деле, уже два раза запрещали, а потом снова разрешали. Запрещали, потому что можно провести сейчас такие эксперименты, какие невозможны в природе.
Когда в Китае обратили внимание на бессимптомных носителей вируса, было уже поздно, болезнь уже распространилась по всей стране. Фото: Xinhua/Cheng Min/Globallookpress
Ситуация такова, что в Ухане есть лаборатория почти высшей степени биобезопасности. Там к тому же проверялись некоторые гипотезы, придуманные как в США, так и в самом Китае. Более того, как сейчас выясняется, было даже финансирование, причём не оборонного, а открытого характера – на проведение работ по имитации природной эволюции.
– А это опасно – функционирование такой лаборатории?
– Конечно опасно. Если бы я мог это решить, то я бы такие эксперименты запретил. Почему? Потому что мы ещё очень многого не знаем, как в точности устроены даже простые микроорганизмы. Но при этом мы уже умеем складывать "кубики" из аминокислот и нуклеотидов – составных частей живых организмов. Но когда-то люди уже складывали "кубики" из урана-235, и у них там всё засветилось, они обрадовались. А потом через пять-семь лет из них 80% умерло, потому что они очень близко к этому стояли и не знали о возникающем при этом излучении и о том, что это очень опасно. А ведь это был первый прототип ядерного реактора.
С вирусами всё немного по-другому, но суть одна. Мы пытаемся из "кирпичиков" слепить нечто интересное. На уровне модели мы это понимаем, а вот на уровне того, как оно может попасть в природу и там размножиться – нет. И такие эксперименты уже приводили к очень неожиданным результатам.
Так, в Австралии пытались создать штамм для контроля численности популяции кроликов. И хорошо, что сначала попытались делать это не на кроликах, а на мышином штамме и делали это в лаборатории высшей степени защиты. И повезло, что эта лаборатория очень строго соблюдала все правила биобезопасности. Потому что они думали получить штамм, который мышей стерилизует. Но в итоге они получили штамм, которому в природе нет равных по летальности для мышей. Понимаете, это получилось случайно. И в это сразу даже не все поверили! И взялись перепроверять. И всё оказалось правдой. А ведь всего лишь хотели стерилизовать животных…
И в случае имитации природной эволюции в лаборатории учёные могут нечаянно такую заразу получить, которую никак не ожидают. И она будет совсем даже не природный процесс имитировать, а просто нечаянно будет получена такая конструкция, которая станет моментально бить по тем же лёгким с невероятной силой. Вот почему к этим экспериментам сейчас привлечено очень большое внимание, они обсуждаются, но не дилетантами, а специалистами.
– То есть нам в каком-то смысле даже повезло, что мы столкнулись с природным вирусом, который не настолько страшен?
– Вы знаете, это правда. Конечно, он мог быть намного более смертоносным. В Китае плотность населения в тех областях, где это случилось, просто феноменальная. Я сравниваю с Новосибирской областью, и у многих это вызывает удивление. Провинция Хубэй площадью примерно с Новосибирскую область. Отличие буквально в 2%. Там живёт 110 миллионов человек, а в нашей области – меньше трёх миллионов. Разница в 40 раз.
Чтобы прокормить нашу Новосибирскую область, надо 7,5 миллионов кур в год. Умножьте эту цифру на 40. Хорошая величина получается – 300 миллионов. Вы представляете, как все эти птицы будут болеть, если их не вакцинировать? И соответственно, какова там вероятность появления птичьего вируса, патогенного для человека. А ведь они там ещё и свиней, коров, овец выращивают…
– Сейчас в России говорят об увеличении числа бессимптомных пациентов с COVID-19. С чем связан этот рост?
– Нет, бессимптомные носители были с самого начала. Просто в Китае на это не обратили особого внимания, потому что там сразу был введён жесточайший карантин. Там стреляли в воздух, когда человек нарушал карантин, нам такое даже и не снилось. Поэтому на бессимптомных там не обратили внимания, а потом не обратили внимания в Италии и США. И там получилось так, что иногда бессимптомный носитель заражал несколько сотен людей. Именно так начинались эпидемии в Северной Италии и штате Вашингтон в США.
Нам повезло, что мы поздно этот вирус получили и имеем опыт других стран. Но мы им поначалу не воспользовались. А надо было сразу обратить внимание на итальянский пример. Фото: Zamir Usmanov/Globallookpress
И когда на это обратили внимание, стали этот феномен изучать. Но в условиях эпидемии это делать очень трудно, хотя соответствующие исследования начали проводиться сразу. Я ещё в феврале, когда прочитал эти публикации в американской и итальянской прессе, предупреждал, что нужно срочно отлавливать всех этих контактных бессимптомных вирусоносителей. То есть всех контактных с выявленными больными лиц надо сразу обследовать на наличие вируса. Но мне в ответ возражали, что нам этого делать не надо, у нас модель другая, и мы будем делать по-другому. Сделали по-другому и получили то, что имеем сейчас.
– Нам говорят, что Россия выиграла время, и поэтому у нас ситуация развивается более стабильно. Это так?
– Нам повезло, что мы поздно этот вирус получили и имеем опыт других стран. Но мы им поначалу не воспользовались. А надо было сразу обратить внимание на итальянский пример. Ведь там пара-тройка бессимптомных носителей заразили сначала несколько десятков человек в барах и кафе, а через пару дней эта цифра возросла до почти 100 тысяч человек. Потому что там был и футбольный матч, на который они все пришли, и фестиваль проводился. То есть эти люди были без симптомов, но передали вирус тем, кто оказался более восприимчивым.
– Сейчас говорят, что многие переболели коронавирусом в России ещё до того, как люди стали массово заражаться. Есть истории, что в феврале у многих в Москве была высокая температура и симптомы, схожие с COVID-19, но эти люди теперь выздоровели, а некоторые якобы перенесли болезнь вообще без симптомов. Какова вероятность, что это был именно новый коронавирус?
– Вы когда-нибудь держали в руках медицинский справочник фельдшера? У меня дома такой был, справочник 1960-х годов. Когда я его читал в 20-летнем возрасте, я сразу у себя нашёл штук 30 болезней. И многие сейчас делают то же самое.
Не было тогда ещё никакой эпидемии. На самом деле респираторное заболевание вызывают с десяток вирусов и столько же бактерий. Основную заболеваемость вызывают вирусы – до 80%. Это грипп, коронавирусы обычные – четыре штуки, вирусы парагриппа обычные – четыре штуки, метапневмовирусы – две разновидности, риновирусы, бокавирусы, аденовирусы, энтеровирусы и так далее.
Врачи назначали всем этим больным какой-то анализ? Почти наверняка – нет, хотя в принципе могли. Но такой вид диагностики – на несколько респираторных вирусов – у нас не входит в страховую медицину. Поэтому ни один государственный врач вам такой анализ не назначит. А потом люди говорят, что они "тяжело переболели" и подозревают новый коронавирус. Никто ведь тогда таких диагнозов не ставил, потому что про него никто и не знал, а "на глаз" по симптомам ставить такой диагноз – это нонсенс.
Про вакцину мы можем говорить только тогда, когда она прошла испытания, хотя бы вторую и третью фазы, на добровольцах. Фото: Peter Steffen/dpa/Globallookpress
Если вы говорите "болел", значит, у человека были недомогания. Парадокс всех бессимптомников в том, что у них же не было ничего. И сейчас есть целый ряд гипотез, почему так бывает. Есть часть живых вакцин, которыми прививают людей – это вакцины против кори, паротита, краснухи, полиомиелита. Это всё живые вакцины. Практически никто после их введения никаких симптомов не наблюдает, а живой вакцинный вирус в этих людях размножается, причём как минимум в 100 раз. Просто он поражает небольшое количество клеток. Человек, может быть, это ощущает, но в виде лёгкого недомогания. Поэтому бессимптомный носитель – это не больной.
– И много ли у нас таких носителей, процент увеличивается?
– Мы ничем не отличаемся от США, Италии и других стран. У нас этот процент, я думаю, такой же. Сейчас считается, что это вообще порядка 80%. Недавно в Санта-Кларе в Калифорнии провели исследование на наличие у населения антител к нынешнему коронавирусу. А в Санта-Кларе некоторые люди болели коронавирусом, но далеко не все. Итог – примерно 4% имеют антитела. Сейчас идёт спор о том, насколько надёжна была та тест-система на определение антител. Да, там возможен "перекрёст" со старыми, давно известными коронавирусами, но это надо решать путём совершенствования этой системы.
У нас Татьяна Голикова говорила, что 11 человек из 226 в Москве уже имеют антитела. Так у нас ещё на тот момент ни одной аттестованной тест-системы не было на этот маркер. То есть это результат очень и очень приблизительный, мягко говоря. И если вы хотите такое определение надёжно сделать, то вы сразу должны объяснить, как была валидирована эта тест-система. Если она в некой деревне под Архангельском тоже нашла эти 4%, то ей грош цена. А для валидации тест-систему надо тщательно проверить на специально собранной панели контрольных сывороток, как положительных, так и отрицательных.
– Сейчас создаётся много вакцин против коронавируса. Какова примерно может быть их эффективность с точки зрения мутации вируса, к моменту их появления вирус успеет сильно измениться или нет?
– Да, разрабатывается сразу несколько кандидатных вакцин. Я особенно обратил бы внимание на это слово – кандидатных. Потому что про вакцину мы можем говорить только тогда, когда она прошла испытания, хотя бы вторую и третью фазы, на добровольцах. Насчёт мутаций коронавируса – он мутирует гораздо медленнее, чем обычный вирус гриппа, поэтому не в этом проблема. Просто мы должны иметь в виду, что против коронавирусов человека пока ещё никакой вакцины не разработано. Какой из вариантов в итоге будет защищать от инфекции и пойдёт в серию – никто не знает. Пока про это говорить рано. Нужно сделать ещё много экспериментальных шагов, прежде чем мы дойдём до той стадии, когда сможем это сказать.
– Как долго, на ваш взгляд, нынешняя тяжёлая ситуация с коронавирусом может продолжаться и в России, и в мире?
– Это зависит от эффективности применяемых сейчас мер. Не зря же в Индии нарушителей изоляции били палками, а китайцы стреляли в воздух – это привело к строгому соблюдению мер и снижению в итоге заболеваемости. А у нас посмотрите, что происходит: люди массово гуляют, обнимаются, шашлыки группами жарят и так далее. Это какая-то пародия на карантин. И мы видим по динамике заболеваемости, что происходит: пока мало что меняется.
В мире мы видим замедление и распространения, и заболеваемости, а в России – пока нет. А математика нам говорит, что пока у нас ежедневное прибавление возрастает, мы даже ещё не на половине пика. Минимальный прогноз мы уже можем сделать, что у нас будет около 120 тысяч заболевших. А ведь люди будут заражаться и потом, уже после прохождения пика. В сумме мы получим, скорее всего, примерно 300-500 тысяч, и будет очень хорошо, если эта цифра всё-таки будет меньше. А это зависит только от нас с вами: от соблюдения нами противоэпидемических мер.
 | Фото: Marcus Brandt/DPA/ТАСС |
 | Фото: mskagency.ru |
- Скорее, положительно
- Скорее, отрицательно
 |
24 ноября 2014, 14:00
Текст: Иван Чернов
Специалисты международной компании по производству антивирусных программ Symantec охарактеризовали вирус Regin как самую совершенную шпионскую программу, известную на настоящий момент, передает ТАСС со ссылкой на Financial Times.
Известно, что Regin в основном поражал компании связи и интернет-провайдеров в России, Саудовской Аравии, а также в Мексике, Ирландии и Иране.
Каким образом вирус поражает корпоративные системы, эксперты пока не поняли. Однако они считают, что Regin позволяет прослушивать разговоры по мобильным телефонам крупных мировых операторов, а также просматривать электронную почту на серверах компании Microsoft.
При этом в компании Symantec не исключили, что вредоносной программой может управлять одна из западных спецслужб.
Основными мишенями вредоносной программы были не только интернет-провайдеры и компании в сфере телекома, но и представители гостиничного бизнеса, правительственные учреждения, научно-исследовательские институты и частные лица, добавляет Forbes.
Большинство кибератак Regin пришлось на Россию – 28%. Чуть меньше – 24% – на Саудовскую Аравию. По 9% – на Ирландию и Мексику. По 5% – на Индию, Афганистан, Иран, Бельгию, Австрию и Пакистан.
По оценке специалистов, работа хакеров над этим вирусом велась на протяжении нескольких месяцев или даже лет. А использование его для сбора информации началось не позднее 2008 года.
Добавим, что источник газеты Financial Times в одной из западных спецслужб уже прокомментировал подозрения в причастности разведчиков. Он заявил, что говорить о происхождении и целях вируса Regin пока сложно. Однако то, что вирус использовался в конкретных государствах, не исключает версию о том, что он был разработан именно там.
Наконец, ведущий вирусный аналитик ESET Russia Артем Баранов рассказал, что некоторые модули рассматриваемой вредоносной программы были добавлены в антивирусные базы продуктов ESET NOD32 еще несколько лет назад.
Читайте также: