Compania specializată în soluţii de securitate informatică Symantec a afirmat că e posibil să fi descoperit cel mai sofisticat software nociv. Denumit Regin, malware-ul specializat în spionaj îşi execută misiunile clandestine de mulţi ani fără a fi depistat. Majoritatea softurilor nocive - pe care le descarci fără să ştii prin intermediul unor software-uri gratuite, descărcări de filme ilegale şi accesarea unor site-uri pornografice - "doresc" să se răspândească rapid pe cât mai multe sisteme ţintă.
Citiţi şi:
- Viruşi, troieni, viermi şi alte "creaturi" IT
- Stuxnet, virus pentru sistemele industriale
Scopul este, de regulă, să acumuleze date care să poată fi utilizate în diverse scopuri, cum ar fi escrocherii financiare. De aceea se răspândesc oricât de mult pot. Regin este diferit. Este improbabil să-ţi infecteze sistemul în situaţia în care atacatorul nu doreşte asta.
Atac etapizat
Regin îşi derulează atacul în mai multe etape. Odată ce victima este păcălită să descarce aplicaţia tip "troian" (dintr-un fişier ataşat într-un e-mail nesolicitat), aceasta va instala componente criptate, necesare atacului. Aceste componente permit updatarea de la distanţă a softului nociv, făcând dificilă combaterea de către softurile anti-malware.
Regin este un malware viclean. Pe măsură ce fiecare componentă este decriptată şi activată, el descarcă o altă componentă. Fiecare - cu sarcini diferite şi dificil de detectat. Instalează o aplicaţie-nucleu (eng. kernel) care rulează malware-ul. Apoi încarcă propria "platformă de utilizator", o colecţie de aplicaţii care "vorbesc" cu aplicaţia-nucleu. Această configuraţie permite accesarea datelor computerului, conform intereselor atacatorului.
Regis pare a fi un adevărat "cuţit elveţian", adaptându-se la utilizator şi fiind potrivit pentru diverse tipuri de atacuri. Acesta permite adăugarea unor componente diferite în etape şi în mod invizibil utilizatorului computerului ţintă.
Seturile de aplicaţii utilizate de Regin au, printre altele, următoarele roluri: înregistrarea utilizării tastaturii (eng. key loggers), a clicurilor mouse-ului, monitorizarea traficului de reţea, capturi de ecran, accesarea logurilor convorbirilor de tip chat etc.
Acest tip de atac, în mai multe etape, indică un creator potent. Suspiciunea este că că avem de-a face cu un serviciu de informaţii occidental. Verificările efectuate sugerează că în perioada 2008-2011 Regin a fost în teste, iar de atunci este utilizat pentru atingerea scopurilor pentru care a fost creat: spionajul. Rusia şi Arabia Saudită sunt capetele de listă printre ţinte.
Ar trebui să intrăm în panică?
Varianta Regis descoperită de Symantec a fost deja inclusă în baza de date a companiei. Firmele ce produc softuri anti-malware concurează pentru clienţi, dar, în realitate, schimbă informaţii între ele privind ameninţările identificate. Asta înseamnă că orice software anti-malware ai folosi, în mai puţin de 48 de ore de la identificarea unui nou tip de ameninţare, softul tău va conţine "antidotul".
Dar problema este că până acum a fost identificată o singură variantă a Regin. Sunt şi altele, cu siguranţă. Companiile ce furnizează software anti-malware practică un joc tip şoarecele şi pisica în competiţia cu cei care creează softuri nocive.
Partea interesantă este că Regin, ca şi celebrul Stuxnet, care a fost creat pentru a ataca complexul nuclear iranian, ori malware-ul Duqu, este un soft "targetat".
De aceea, în funcţie de ce reprezinţi, cel mai probabil nu ai fost afectat de Regin. Dar asta nu înseamnă că nu trebuie să te îngrijeşti să utilizezi o versiune actualizată a antivirusului.
Traducere după Introducing Regin
