Mihály
10 °C
25 °C

Rejtélyes trójai kémkedett fél évtizeden át

2014.11.24. 08:49

Igen kifinomult trójai vírust találtak a Symantec kutatói, és azt feltételezik, hogy a netszolgáltatók és távközlési cégek rendszereit megfertőző kód állami megrendelésre készült. Származási helye még rejtély, de a jelöltek listája nem túl hosszú: az Egyesült Államok, Izrael vagy Kína lehet a kód forrása.

A Regin névre keresztelt trójait ugyanaz a csapat fedezte fel, amely négy évvel ezelőtt rátalált a Stuxnetre, amit a világ első digitális fegyverének tekintenek a szakértők. A Symantec blogbejegyzésében az áll, hogy ritkán látni ilyen összetett, komoly műszaki szaktudást igénylő kódot, mint amilyen a Regin. Annyira ügyesen rejtőzködik, hogy még ha fel is fedezik egy rendszeren, nem tudják pontosan megállapítani, éppen mit csinál. Ebből következtetnek arra, hogy csak egy állami megrendelésre dolgozó, nagyon profi csapat állhat a kifejlesztése mögött.

Annyira jól dolgoztak a trójai szerzői, hogy a kártékony kód több mint fél évtizeden át rejtve maradt. A Symantec szerint egy 2008-ban elkezdett kémkedési műveletben vetették be először a Regint. Eddig száz fertőzést észleltek, többek közt Indiában, Írországban, Afganisztánban, Oroszországban, Mexikóban, Belgiumban, Ausztriában és Pakisztánban. Az Egyesült Államokban és Kínában egyelőre nem találtak egyetlen áldozatot sem. A célpontok főleg internetes cégek voltak.

Még nem sikerült megfejteni a Regin terjedési mechanizmusát. Egyetlen esetben Yahoo Messenger csevegőn keresztül fertőzött, más esetekben hamis weboldalakről került az áldozatok gépére. Az biztos, hogy Windowson lehet elkapni, és öt részből áll. A több fázisból álló telepítési módszere hasonlít a Stuxnetére. Az kémkedéshez tucatnyi eszközt képes felhasználni a Regin: át tudja venni az irányítást az áldozat gépe fölött, fájlokat tud lemásolni, be tudja kapcsolni a webkamerát és a mikrofont, és a billentyűleütések figyelésével a jelszavakat is könnyen eltulajdonítja.

A Regin ki van hegyezve a távközlési cégekre, legalábbis erre utal, hogy a készletében lévő eszközökkel a hálózati forgalmat és a mobilszolgáltatók bázisállomásait is tudja manipulálni.