Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det har taget flere år at udvikle malwaren Regin, og det har krævet væsentlige ressourcer. Derfor er det nærliggende at mistænke, at en organisation som eksempelvis en efterretningstjeneste står bag.
Målet har været at overvåge nogle ganske få maskiner, og de typiske ofre har været teleselskaber, regeringsinstitutioner, pengeinstitutter og forskningsinstitutter samt individer, som er involveret i avanceret research af matematik og kryptering. Alt om DATA har talt med Costin Raiu fra Kaspersky Lab, der fortæller, hvordan de har undersøgt Regin.
Corstin fortæller: ”Igennem vores research har vi bl.a. fundet ud af, at den belgiske krypteringsekspert Jean Jacques Quisquater er blevet angrebet. De målrettede angreb afspejler sig også i den komplekse arkitektur, der ligger bag Regin. Softwaren er opbygget til at angribe i fem trin, hvor kun det første er umiddelbart læsbart. Resten er krypteret. Regin anvender også kryptering og et virtuelt filsystem til at gemme de data, der bliver indsamlet.”
Hvad gør Regin speciel?
Så vidt vi kan se, er Regin-malwaren stadig aktiv, selv om den kan være blevet opgraderet til mere avancerede versioner. Den seneste prøve, vi har set, var fra en 64-bit-infektion. Denne infektion var stadig aktiv i foråret 2014. Navnet Regin er tilsyneladende ”I Reg” i omvendt form, altså en forkortelse for ”I Registry”, hvilket hentyder til, at malwaren kan gemme sine moduler i registreringsdatabasen. Dette navn og fund optrådte første gang i antimalware-produkter omkring marts 2011.
Regin minder om en anden sofistikeret malware, ”Turla”. Anvendelsen af virtuelle filsystemer samt indsættelsen af kommunikationsdroner for at bygge bro mellem netværk er klare ligheder. Men det er i dens kodning, metoder, plugins, skjulte teknikker og fleksibilitet, at Regin overgår Turla, som en af de mest sofistikerede angrebsplatforme, vi nogensinde har analyseret.
Evnen til at penetrere og overvåge GSM-netværk er måske det mest usædvanlige og interessante aspekt ved Regin. I dag er vi alle alt for afhængige af mobilnetværk, som kører på gamle kommunikationsprotokoller med kun lidt eller slet ingen sikkerhed for slutbrugeren. GSM-netværk har mekanismer indbygget, som giver bl.a. politiet mulighed for at forfølge mistænkte, men denne evne kan kapres og benyttes til at søsætte forskellige angreb mod mobilbrugere.
Kunsten at finde cyber-dinosaurskeletter
Som det fremgår, udgør Regin en særdeles kompliceret APT. Det er ikke ligetil at finde frem til angrebsmønstret og fastlægge målet og metodikken. En kollega fra branchen har givet en perfekt beskrivelse af APT-undersøgelser ved at sammenligne det med en palæontologs arbejde.
Mange har måske enkelte knogler, men ingen har det samlede skelet. Da vi i Kaspersky Lab fandt det første tegn i 2011, var det blot en lettere skadet knogle, som kom fra en ukendt del af et monster, der bor i en mystisk bjergsø. Hvem som helst kan finde en knogle og vælge at kassere den, men vi indsamler alle knoglerne. Den originale knogle, der blev fundet, er opbevaret i vores samling blandt mange andre fund. Disse skadede knogler kan være fra hidtil ukendte monstre eller fra helt harmløse skabninger.
Nogle gange hører vi om nogle nye fund af knoglerester, og det tvinger os til at se nærmere på de knogler, vi allerede har. Men i de tidlige faser, hvor der ikke er tilstrækkelig dokumentation til at drage meningsfulde konklusioner, giver det ikke mening at gå til offentligheden med opdagelserne. Det gør vi først, når vi kan bekræfte, at monsteret findes.
Når vi har indsamlet nok knogler fra et monster, er vi klar til at se på dets potentielle størrelse, fare og mulige habitat. Derefter kan vi begynde næste fase, som er en reel aktiv undersøgelse, der kan føre os til den mystiske bjergsø. Vi går på denne måde igennem en række af niveauer, når vi skal identificere nye farer. Hvis vi er heldige, kan vi finde et monster, og i de fleste tilfælde, som med Regin, observerer og lærer vi af det levende monsters opførsel. Vi registrerer simpelthen hvert enkelt trin. Det kræver kort sagt megen tid og stor tålmodighed.
Nål i høstak
Mens nogle af beviserne på Regin dukkede tidligt op på vores radar, fortsatte vi med at finde yderligere prøver og artefakter til undersøgelsen. Vi kendte ikke meget til Regins liv eller eksistens, men vi vidste, at den fandtes derude, da vi med tiden fandt flere og flere små fragmenter. Og her kan jeg igen drage en parallel til palæontologien, hvor der i det store billede kun er opdaget en lille del af hele dyret. Men vi havde nu alligevel tilstrækkelig viden til at kunne advare offentligheden.
Hos Kaspersky Lab behandler vi hundredtusindvis af prøver hver eneste dag. Kunsten er at finde ud af, hvilke der er væsentlige, og hvilke der hører sammen som en del af et større APT-angreb. Det kan sammenlignes med at finde nåle i en kæmpe høstak for derefter finde ud af, hvilke der tilhører samme syning.
2015 byder på flere angreb
Vi forudser, at vi i 2015 vil opleve, at store APT-grupper splitter sig op i mindre enheder, som så opererer uafhængigt af hinanden. Dette vil ske, da sikkerhedsfirmaer presser på for eksponering af disse APT-grupper. Det vil resultere i, at flere virksomheder bliver ramt, da de mindre grupper kan diversificere deres angreb. Samtidig betyder det, at større virksomheder, som tidligere blev ramt af to til tre store APT-grupper, nu vil se mere forskelligartede angreb, der kommer fra flere kilder.
