Η Symantec εντοπίζει το Regin malware που "κατασκοπεύει" υπολογιστές με Windows από το 2008

[nnn]

Η Symantec -η οποία το 2010 είχε εντοπίσει τον Stuxnet- εξέδωσε ανακοίνωση για ένα πρόσφατα εντοπισμένο malware που όπως φαίνεται "κυκλοφορεί" ελεύθερο από το 2008, μολύνοντας υπολογιστές με Windows.

Το Regin -όπως το ονόμασαν- είναι ένα backdoor trojan που λειτουργεί σε 5 στάδια, δίνοντας μεγάλη ευελιξία στους χειριστές του (υποκλοπή δεδομένων, παρακολούθηση επικοινωνιών, λήψη screenshot κ.α.), και θύματα του έχουν πέσει κυβερνήσεις, πάροχοι τηλεπικοινωνιών, εταιρίες και ιδιώτες σύμφωνα με την αναφορά της Symantec.

Regin is a highly-complex threat which has been used in systematic data collection or intelligence gathering campaigns. The development and operation of this malware would have required a significant investment of time and resources, indicating that a nation state is responsible. Its design makes it highly suited for persistent, long term surveillance operations against targets.

The discovery of Regin highlights how significant investments continue to be made into the development of tools for use in intelligence gathering. Symantec believes that many components of Regin remain undiscovered and additional functionality and versions may exist. Additional analysis continues and Symantec will post any updates on future discoveries

Ο κώδικας του είναι εξαιρετικά εξελιγμένος, κάτι που κάνει πιο πιθανό να έχει αναπτυχθεί από κάποια κυβέρνηση - με τις υποψίες να πέφτουν στις ΗΠΑ και Κίνα- και κρούσματα του έχουν εντοπιστεί στην Ρωσία και Σαουδική Αραβία (ο μεγαλύτερος όγκος επιθέσεων), Μεξικό, Αφγανιστάν, Ινδία και Ευρωπαϊκές χώρες σαν το Βέλγιο και την Ιρλανδία.

Με πληροφορίες από το : Symantec Security Response blog

[petran_18]

Αν είναι μόνο για windows την γλυτώσαμε

Πως καταλαβαίνει ο χρήστης την μόλυνση;

[tzelen]

Δεδομένων των sectors και τοποθεσιών με τις περισσότερες μολύνσεις, την εξαιρετικά ανεπτυγμένη φύση του malware (κατά τα γραφόμενα της Symantec), φταίει κανείς αν αρχίζει να σκέφτεται ότι είναι από πίσω το Land of the free;

[R0n1S]

Αν είναι μόνο για windows την γλυτώσαμε

Εμ για windows είναι, για τι άλλο θα ήταν;
Αλλά προφανώς δεν εχουν στόχο τον απλό χρήστη σε αυτή την περίπτωση.

[keysmith]

Οσο εξελιγμένο και να είναι μου κάνει φοβερή εντύπωση πως υπάρχει από το.. 2008?!?
Υπάρχουν "Host IDS/IPS" (κάποια μέρος απλών AV) που λειτουργούν με ανάλυση συμπεριφοράς και όχι υπογραφών. Κάποιο έπρεπε να το είχε "παρατηρήσει" ως ύποπτο (όταν άλλαζε αρχεία συστήματος/registry/services κτλ).. Απορίας άξιο εκτός αν υποθέσουμε ότι ήταν υπογεγραμμένο πχ ως κώδικας update της ίδιας της MS (οπότε τα περισσότερα θα το έβαζαν στην "ασφαλή λίστα") ή κάτι τέτοιο. Δεν ξέρω, όταν αποκαλύπτονται τόσο φοβερές επιθέσεις προβληματίζομαι..

[petran_18]

Εμ για windows είναι, για τι άλλο θα ήταν;
Αλλά προφανώς δεν εχουν στόχο τον απλό χρήστη σε αυτή την περίπτωση.

still...

[aiolos.01]

Για να είναι κυρίως σε Ρώσικα μηχανήματα ποιός να το έβαλε; Ο Πούτιν;

[globalnoise]

Οσο εξελιγμένο και να είναι μου κάνει φοβερή εντύπωση πως υπάρχει από το.. 2008?!?
Υπάρχουν "Host IDS/IPS" (κάποια μέρος απλών AV) που λειτουργούν με ανάλυση συμπεριφοράς και όχι υπογραφών. Κάποιο έπρεπε να το είχε "παρατηρήσει" ως ύποπτο (όταν άλλαζε αρχεία συστήματος/registry/services κτλ).. Απορίας άξιο εκτός αν υποθέσουμε ότι ήταν υπογεγραμμένο πχ ως κώδικας update της ίδιας της MS (οπότε τα περισσότερα θα το έβαζαν στην "ασφαλή λίστα") ή κάτι τέτοιο. Δεν ξέρω, όταν αποκαλύπτονται τόσο φοβερές επιθέσεις προβληματίζομαι..

Αν διαβάσεις το white paper θα καταλάβεις τα mechanics που χρησιμοποεί για να το αποφύγει

[minas]

Οσο εξελιγμένο και να είναι μου κάνει φοβερή εντύπωση πως υπάρχει από το.. 2008?!?
Υπάρχουν "Host IDS/IPS" (κάποια μέρος απλών AV) που λειτουργούν με ανάλυση συμπεριφοράς και όχι υπογραφών. Κάποιο έπρεπε να το είχε "παρατηρήσει" ως ύποπτο (όταν άλλαζε αρχεία συστήματος/registry/services κτλ).. Απορίας άξιο εκτός αν υποθέσουμε ότι ήταν υπογεγραμμένο πχ ως κώδικας update της ίδιας της MS (οπότε τα περισσότερα θα το έβαζαν στην "ασφαλή λίστα") ή κάτι τέτοιο. Δεν ξέρω, όταν αποκαλύπτονται τόσο φοβερές επιθέσεις προβληματίζομαι..

Είναι εξαιρετικά αποτελεσματικός ο τρόπος που κρύβεται, ενώ έχει τη δυνατότητα να αναβαθμίζει τόσο τον πυρήνα του, όσο και τα λειτουργικά του μέρη.

[GoofyX]

Με κάτι τέτοια που ανακαλύπτονται κατά καιρούς, πλέον τα σενάρια όπως στις ταινίες, που ένας χακεράς σε λίγη ώρα φτιάχνει έναν ιό που δεν τον πιάνει κανείς, μεταφέρει λεφτά στα νησιά Κέιμαν και γενικά κάνει ό,τι γουστάρει, πλέον δε θα είναι τόσο σενάρια επιστημονικής φαντασίας.

Μάλλον πίσω από κάτι τέτοιο να κρύβεται η NSA έχεις τους πόρους και την «δικαιοδοσία». Το θέμα είναι: Πόσο καιρό ακόμη το ελεύθερο λογισμικό θα μπορεί να είναι ανέγγιχτο από τέτοιες απειλές/συστήματα...; Δυστυχώς φοβάμαι όχι πολύ ακόμα...

[nnn]

Τριγράμματες υπηρεσίες των ΗΠΑ/Βρεττανία, πιστεύεται πως είναι από πίσω.

[stamka]

Αλλο το Regin malware που βρηκε η Kaspersky και αλλο το Regin malware που βρηκε η Symantec ????

Εδω παντως αν και λεει ""If you are a Norton product user..."" εχει εφαρμογη αυτονομη που χωρις να εισαι norton product user μπορεις να χρησιμοποιήσεις κανονικα για Removal Backdoor Regin
Removal Tool Run Norton Power Eraser (NPE)

[petran_18]

http://902.gr/eidisi/epistimi-tehnol...esies-piso-apo