подписаться
Сирия, сводка на 31 августа 22.30: САА атакует боевиков в Дамаске, ИГИЛ отступает в Дейр-эз-Зоре, США отправили миротворцев в Хасеке
Сирия, сводка на 31 августа 22.30: САА атакует боевиков в Дамаске, ИГИЛ отступает в Дейр-эз-Зоре, США отправили миротворцев в Хасеке
Новости США: Клинтон не верит мексиканским страстям Трампа, жертвы турбулентности
Новости США: Клинтон не верит мексиканским страстям Трампа, жертвы турбулентности
Вице-президент ПКР об отстранении российских паралимпийцев: Это охота на ведьм
Вице-президент ПКР об отстранении российских паралимпийцев: Это охота на ведьм
Сирия, сводка на 31 августа, 19.30: ВКС РФ уничтожили 40 боевиков в Алеппо, РКЦ в Хмеймим фиксирует нарушения перемирия
Сирия, сводка на 31 августа, 19.30: ВКС РФ уничтожили 40 боевиков в Алеппо, РКЦ в Хмеймим фиксирует нарушения перемирия
ВСЕГДА БУДЬ В КУРСЕ!
×

уже подписались

СДЕЛАТЬ ВЫБОР
одноклассники твиттер вконтакте facebook

ВСТУПИТЬ В ГРУППУ

Новости партнеров
достоверно

Вирус Regin шесть лет шпионил за российской "нефтянкой"

views
1634
Компьютерный шпионаж

Калифорнийская софтверная компания Symantec, известная своими антивирусными утилитами (Norton AntiVirus и др.), опубликовала развёрнутый постинг и 22-страничную презентацию о раскрытом ею компьютерном вирусе Regin, назвав его "одной из самых революционных и бесподобных вредоносных программ" в мировой истории.

Эпитеты громкие, однако вовсе не они приковали к сообщению Symantec внимание мировых агентств. Оказалось, что Regin, скрывающий в себе сразу несколько шпионских функций, отличается от конкурентов не только своим выдающимся техническим совершенством, но и тем, что, во-первых, очевидным образом создан на деньги какого-то правительства и в его же интересах, и во-вторых, направлен главным образом против российских и саудовских компаний, организаций и частных лиц. Именно поэтому новость об очередном шедевре коллективного хакерского гения немедленно перекочевала в отечественных и мировых СМИ из разряда "Софт и игры" в рубрику "Политика".

Однако прежде чем перейти к политическим выводам, стоит разобраться, в чем именно заключается революционность вируса Regin, отнявшего у сотрудников Symantec целый год кропотливого изучения.

Маленький братец следит за тобой


Главным предназначением Regin является поиск, мониторинг и похищение информации на заражённом компьютере. Он способен подгружать в инфицированную систему большое количество своих дополнительных модулей, отвечающих за разные направления "слежки".

Вот неполный список того, что умеет Regin: делать скриншоты, отслеживать нажатие клавиш, перегружать компьютер и завершать процессы; брать на себя управление движениями и кликами мышки; воровать пароли и данные аккаунтов; контролировать сетевой трафик; мониторить запущенные программы, загруженность памяти и работу жёстких дисков; читать, копировать и перемещать любые файлы, включая частично или полностью удалённые. Назначение некоторых обнаруженных модулей, расширяющих функциональность вируса, до сих пор не раскрыто.

Одной из особенностей Regin являются расширенные возможности контроля за ним со стороны атакующих злоумышленников. Связь между вирусом и его удалённым хозяином может быть инициирована с обеих сторон, причём инструкции "из Центра" или новые модули, устанавливаемые в компьютер-жертву, вирус может получать по одному каналу связи, а отправлять похищенные данные — по другому. Весь обмен данными надёжно зашифрован. Это позволяет использовать инфицированную систему как промежуточную площадку для дальнейшего распространения вируса.

Заражение вирусом может происходить различными способами, включая посещение пользователями ложных версий известных сайтов, запуск определённых программ или приём вредоносных сообщений через мессенджеры. Зафиксирован случай, когда один модуль к Regin был специально доставлен и внедрён в заражённую систему уже после её первичного инфицирования.

Regin имеет пятиуровневую архитектуру, причем относительно видимым является лишь первая его стадия, запускающая установку вируса в систему на манер цепной реакции после того, как в неё проник изначальный носитель-троян. Проанализировать конкретную модификацию вируса и понять точную угрозу, которую он несёт, можно лишь после обнаружения всех пяти его стадий в каждом конкретном компьютере. При этом за целый год сотрудники Symantec так и не смогли отыскать пример нетронутого, "упакованного" трояна — "нулевую стадию" Regin, внедряемого в компьютер-жертву; возможно, он вообще не является исполняемым файлом.

Шпионские модули раскрываются и устанавливаются на зашифрованных стадиях инфицирования — четвёртой и пятой. Установка вируса происходит в его собственной зашифрованной виртуальной файловой системе, в которой файлы не имеют имён и идентифицируются по двоичным тэгам.

Оружие против России


По сообщению Symantec, вирус Regin используется в шпионских целях как минимум с 2008 года. Распространение его первой версии было внезапно свёрнуто в 2011 году. После этого её следы обнаруживались лишь в тех случаях, когда хозяева вируса не имели возможности его "штатно" удалить. В 2013 году была запущена вторая версия Regin. Однако сотрудники Symantec почти не имели с ней дела и честно признаются в своём отчёте, что он в основном построен на анализе ранней версии вируса. И добавляют, что, помимо двух известных версий, скорее всего, существуют и другие его вариации.

В целом ряде случаев подгружённые вирусом модули имели строго "индивидуальные" функции, подходящие именно для заражённых систем, включая сбор телефонного траффика или отслеживание писем с почтовых серверов. Некоторые из подобных модулей указывают на то, что их разработчики хорошо ориентировались в программном обеспечении заражаемых систем. По мнению Symantec, это говорит об уровне экспертной осведомлённости создателей вируса: причём, видимо, не столько технической, сколько разведывательной.

Из всего объёма проанализированных данных Symantec делает однозначный вывод о том, что собой представляет вирус Regin. Это стоит процитировать целиком: "Regin — это многосторонняя угроза, связанная с систематическим собиранием информации или кампаниями по сбору разведданных. На создание и поддержание этой вредоносной программы должно было уйти значительное количество времени и ресурсов, что свидетельствует о вовлечённости правительственных интересов. Устройство вируса делает его крайне удобным для постоянного и долгосрочного надзора и наблюдения за целями".

Какие же цели имеются в виду? В своём отчёте Symantec достаточно прозрачно указал, о чём идёт речь. Как сообщается, вирус затронул в основном компьютеры и сети индивидуальных пользователей или мелких бизнес-компаний (48%), а также больших корпораций, правительственных организаций и научных институтов. По диаграммам в презентации видно, что из отдельных видов бизнеса Regin больше всего похозяйничал в сфере телекоммуникаций (28%), энергетике (5%) и воздушных перевозках (5%).

Ещё интереснее расклад по наиболее пострадавшим от вируса странам. Инфицирование Regin зафиксировано "главным образом" в десяти различных странах: это Россия (28%), Саудовская Аравия (24%), Мексика (9%), Ирландия (9%), а также Индия, Афганистан, Иран, Бельгия, Австрия и Пакистан, на которые приходится по 5% заражений. В каких государствах вирус распространялся "не главным образом", Symantec не сообщает.

Из двух этих раскладов — по странам и сферам деятельности — вполне можно сделать вывод о том, что разработчиков Regin в первую очередь интересовала повседневная профессиональная и частная жизнь менеджмента российских и саудовских нефтегазовых компаний — включая их коммуникации, контакты, перелёты, а также деятельность аффилированных с ними фирм.

Иммунитет против вируса


Конечно, сенсацией это назвать трудно. Сложно представить, чтобы правительство некой неназываемой страны-заказчика вируса Regin (имена здесь неуместны, хотя все мы знаем, что это слонёнок), не интересовалось положением дел в топливной энергетике двух ведущих "углеводородных империй" и не пыталось получить эти сведения всеми доступными способами. Более того, все предыдущие скандалы подобного рода — от разоблачений Джулиана Ассанжа и Эдварда Сноудена до прослушки личного телефона немецкого канцлера Ангелы Меркель — заставляют задуматься о том, как мало остаётся в мире подлинно тайной информации в сфере олитики и бизнеса. И столь же ясно намекают, куда эта инфа обычно уплывает.

Разумеется, очень хотелось бы верить, что о существовании Regin все эти годы было известно не только антивирусным фирмам, вроде Symantec, но и сотрудникам ФСБ, а также специалистам служб безопасности ведущих российских корпораций — успешно отражающим все зловещие кибератаки врагов с помощью сложных "радиоигр", подложных писем и мнимых серверов. Но что-то подсказывает, что в действительности всё немного грустнее.

Так или иначе, нынешний казус подталкивает к самой очевидной стратегии противодействия сетевому шпионажу. Нужно создавать компьютеры самим. Самим же строить из них сети. И писать под них программное обеспечение тоже самостоятельно. Ещё важнее при этом не пользоваться сторонними программами, даже если это всего лишь невинный мессенджер, установленный "девочкой на ресепшне" для оперативной связи с другими такими же девочками. И совсем уж не нужно позволять сотрудникам «серьезных контор» сёрфить по интернету с корпоративных компов.

Анализ вируса Regin показал, впрочем, что его интересует нечто большее, чем твиты секретарш. По некоторым своим параметрам Regin напоминает те вредоносные программы, с помощью которых спецслужбы США и Израиля несколько лет весьма успешно сдерживали развитие иранской ядерной программы.

Российская нефтянка — сфера ещё более глобальных интересов, нежели иранский атом. Поэтому очень не хотелось бы, чтобы помимо всех прочих факторов, влияющих на неё, вроде картельных сговоров членов ОПЕК или сланцевых проектов в США, опасность исходила бы ещё и от "левых" девайсов или криво установленного программного обеспечения в штаб-квартирах наших нефтяных игроков.

Денис Тукмаков

Алексей Громов

Комментарии

18+
Следующая сводка новостей от наших корреспондентов в Сирии выйдет в
Вам интересно это?
Не интересно Интересно
Сирия: Оппозиция обвиняет США в попытке дискредитации правительства

Рекомендации для вас:

Сирия: Оппозиция обвиняет США в попытке дискредитации правительства