Artikel top billede

Spion-malware fra vestlig stat uhyggelig effektiv: Sådan fungerer Regin-malwaren

Sikkerhedsfirma kalder malwaren Regin for avanceret i en sådan grad, at den kun kan være udviklet af en stat med ressourcer og viljen til at gennemføre et storstilet angreb.

Backdoor.Regin er navnet på det trojanske malware, som Symantec mener stammer fra en vestlig regering.

Et stykke malware, som har spioneret hos særligt de russiske og saudiarabiske internetudbydere, tele-selskaber og hotel-, og flyselskaber.

Men selvom USA er et sandsynligt bud på, hvem der kan stå bag, så vil Symantec meget nødigt sætte afsender på Regin uden håndfaste beviser.

Det fortæller Candid Wüest, Principal Threat Researcher hos Symantec Security Response.

"Regin malwaren er et utroligt sofistikeret stykke malware, som har været aktiv siden 2008. Det store arbejde som er lagt i malwaren og den vilje til langsigtet overvågning gør det sandsynligt, at det er en stat, som står bag," siger Candid Wüest.

"Ud fra de ramte lande, så er det sandsynligt, at det er et vestligt land der står bag overvågningen, men vi har intet fældende bevis for, hvem der står bag."

Læs også: Dansk Europol-chef: 100 udviklere står bag al malware

Regin er tre dele bagvej og to dele overvågning

Malwaren er opbygget af fem moduler, der ligesom en babusjka pakkes ud og dekrypteres. De tre første moduler udfører selve infiltreringen af offerets system.

Disse tre moduler er ens over alle de inficerede computere.

De sidste to moduler af malwaren er de udskiftelige elementer; det er her Regin specifikt kan tilpasses, hvilket system der angribes, og funktioner som afluring af passwords, hente meta-data på telefonopkald eller logge flymanifester og hoteloplysninger kan tilføjes.

Symantecs Candid Wüest fortæller, at der er så mange som 100 forskellige overvågningsmoduler, som alle kan tilføjes, men at de endnu ikke er sikre på, at de har fundet alle moduler og deres funktioner.

At det netop er informations- og rejsesektorerne som er ramt af det trojanske malware er ikke tilfældigt.

"Denne type overvågning giver en efterretningstjeneste et billede af, hvem der taler med hvem, hvor folk rejser og hvilke hoteller de bor på," fortæller Candid Wüest.

"Når en efterretningstjeneste ved hvilket hotelværelse en person af interesse bor på, kan den viden kombineres med traditionel spionage, hvor lyd- og videoovervågning installeres på værelset."

Læs også: Væmmelig trojaner på spil: Går direkte efter alle dine adgangskoder

Blev opdaget på netværkstrafikken

Det trojanske stykke software er næsten umuligt at opdage på computeren, på grund af sin modulære opbygning og en evne til at gemme sig på en harddisks ubrugte hukommelse.

Derfor var det ikke programmet, der først blev fundet, men den trafik af data det genererede til angriberen.

"Det var en af vores kunder, som først opdagede en mærkelig http-trafik, hvilket vi undersøgte og på den måde opdagede programmet," siger Candid Wüest.

Læs også: It-chefer skal slå i bordet med det samme: It-sikkerhed er også bestyrelsens problem

Regin benyttede sig af flere unikke TCP og UDP protokoller samt ICMP/ping til kommunikation med angriberen.

Malwaren holdt en pause

Regin hører til i den eksklusive gruppe af ondsindede programmer, som er velskrevne, godt gemt og uhyre effektive. Alt sammen tegn på et velovervejet angreb.

Den dukkede først op i 2008 og var aktiv frem til 2011.

Her tog malwaren et års pause, hvor det blev fjernet fra de inficerede computere, inden det vendte tilbage med fornyede kræfter i 2013 i en 2.0 udgave.

"Vi har ikke kunne finde nogen tegn på Backdoor.Regin i hele 2012. Måske var den for effektiv og sikrede sin ophavsmand så mange passwords, at malwaren blev overflødig, men vi ved det faktisk ikke," siger Candid Wüest.

"Regin er stadig derude, men nu når vi har opdaget den, vil vi holde øje med, om den ændrer mønstre eller forsvinder igen."

Læs også:

Dansk cyber-sherif indrømmer: Ja, vi planter malware

Sikkerhedsfirma: Hackere stjæler 1,2 milliarder logins

Nu falder der dom i Danmarkshistoriens største hackersag




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
OT og IT: Modernisér produktionen og byg sikker bro efter et årelangt teknologisk efterslæb

Moderne produkter skal have mere end strøm for at fungere – og deres navlestreng skal ikke klippes når de forlader fabrikshallen. På denne konference kan du derfor lære mere om hvordan du får etableret det sikre setup når der går IT i OT.

30. april 2024 | Læs mere


Roundtable for sikkerhedsansvarlige: Hvordan opnår man en robust sikkerhedsposition?

For mange virksomheder har Zero Trust og dets principper transformeret traditionelle tilgange til netværkssikkerhed, hvilket har gjort det muligt for organisationer at opnå hidtil usete niveauer af detaljeret kontrol over deres brugere, enheder og netværk - men hvordan implementerer man bedst Zero Trust-arkitekturer i et enterprise set up? Og hvordan muliggør Zero Trust-arkitekturen, at organisationer opnår produktivitetsfordele med AI-værktøjer samtidig med, at de forbliver sikre i lyset af fremvoksende trusler?

01. maj 2024 | Læs mere


ERP-trends 2024

Bliv derfor inspireret til, hvordan du kan optimere dine systemer og processer når af nogle af de fremmeste eksperter på ERP-markedet dele deres iagttagelser af det aktuelle marked og vurderinger af, hvad vi har i vente de kommende 3-5 år. Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på.

02. maj 2024 | Læs mere