Home » Sikkerhed » Kaspersky samler knogler fra Regin-monstret
Kaspersky samler knogler fra Regin-monstret

Kaspersky samler knogler fra Regin-monstret

Share

I Kaspersky Lab fandt man det første spor af Regin-malware i 2011. Alligevel er der først for nylig dukket en rapport op om Regin. Hvorfor tog det så lang tid, før rapporten om Regin blev offentliggjort?

Det har taget flere år at udvikle malwaren Regin, og det har krævet væsentlige ressourcer. Derfor er det nærliggende at mistænke, at en organisation som eksempelvis en efterretningstjeneste står bag.

Målet har været at overvåge nogle ganske få maskiner, og de typiske ofre har været teleselskaber, regeringsinstitutioner, pengeinstitutter og forskningsinstitutter samt individer, som er involveret i avanceret research af matematik og kryptering. Alt om DATA har talt med Costin Raiu fra Kaspersky Lab, der fortæller, hvordan de har undersøgt Regin.

Corstin fortæller: ”Igennem vores research har vi bl.a. fundet ud af, at den belgiske krypteringsekspert Jean Jacques Quisquater er blevet angrebet. De målrettede angreb afspejler sig også i den komplekse arkitektur, der ligger bag Regin. Softwaren er opbygget til at angribe i fem trin, hvor kun det første er umiddelbart læsbart. Resten er krypteret. Regin anvender også kryptering og et virtuelt filsystem til at gemme de data, der bliver indsamlet.”

[pt id=’2034063′ size=’large’ link=’file’ html_attrs=’title=”Costin RaiuCostin er specialist i analyse af APT hos Kaspersky Lab. Han har over 19 års erfaring med antivirus-teknologier og sikkerhedsresearch. Han er bl.a. medlem af Virus Bulletin Technical Advisory Board.”‘]

Costin RaiuCostin er specialist i analyse af APT hos Kaspersky Lab. Han har over 19 års erfaring med antivirus-teknologier og sikkerhedsresearch. Han er bl.a. medlem af Virus Bulletin Technical Advisory Board.

Hvad gør Regin speciel?

Så vidt vi kan se, er Regin-malwaren stadig aktiv, selv om den kan være blevet opgraderet til mere avancerede versioner. Den seneste prøve, vi har set, var fra en 64-bit-infektion. Denne infektion var stadig aktiv i foråret 2014. Navnet Regin er tilsyneladende ”I Reg” i omvendt form, altså en forkortelse for ”I Registry”, hvilket hentyder til, at malwaren kan gemme sine moduler i registreringsdatabasen. Dette navn og fund optrådte første gang i antimalware-produkter omkring marts 2011.

Se også:  De sjoveste og mærkeligste gadgets på IFA

Regin minder om en anden sofistikeret malware, ”Turla”. Anvendelsen af virtuelle filsystemer samt indsættelsen af kommunikationsdroner for at bygge bro mellem netværk er klare ligheder. Men det er i dens kodning, metoder, plugins, skjulte teknikker og fleksibilitet, at Regin overgår Turla, som en af de mest sofistikerede angrebsplatforme, vi nogensinde har analyseret.

Evnen til at penetrere og overvåge GSM-netværk er måske det mest usædvanlige og interessante aspekt ved Regin. I dag er vi alle alt for afhængige af mobilnetværk, som kører på gamle kommunikationsprotokoller med kun lidt eller slet ingen sikkerhed for slutbrugeren. GSM-netværk har mekanismer indbygget, som giver bl.a. politiet mulighed for at forfølge mistænkte, men denne evne kan kapres og benyttes til at søsætte forskellige angreb mod mobilbrugere.

Se også:  Alt for nemt at være lommetyv: Halvdelen af danskerne har ikke kodeord på mobilen

Kunsten at finde cyber-dinosaurskeletter

Som det fremgår, udgør Regin en særdeles kompliceret APT. Det er ikke ligetil at finde frem til angrebsmønstret og fastlægge målet og metodikken. En kollega fra branchen har givet en perfekt beskrivelse af APT-undersøgelser ved at sammenligne det med en palæontologs arbejde.

[pt id=’2034061′ size=’large’ link=’file’ html_attrs=’title=”Disse illustrationer fra Kaspersky viser hvordan Regin viser og hvordan den har spredt sig rent geografisk.”‘]

Disse illustrationer fra Kaspersky viser, hvordan Regin viser, og hvordan den har spredt sig rent geografisk.

[pt id=’2034062′ size=’large’ link=’file’]

 

Mange har måske enkelte knogler, men ingen har det samlede skelet. Da vi i Kaspersky Lab fandt det første tegn i 2011, var det blot en lettere skadet knogle, som kom fra en ukendt del af et monster, der bor i en mystisk bjergsø. Hvem som helst kan finde en knogle og vælge at kassere den, men vi indsamler alle knoglerne. Den originale knogle, der blev fundet, er opbevaret i vores samling blandt mange andre fund. Disse skadede knogler kan være fra hidtil ukendte monstre eller fra helt harmløse skabninger.

Nogle gange hører vi om nogle nye fund af knoglerester, og det tvinger os til at se nærmere på de knogler, vi allerede har. Men i de tidlige faser, hvor der ikke er tilstrækkelig dokumentation til at drage meningsfulde konklusioner, giver det ikke mening at gå til offentligheden med opdagelserne. Det gør vi først, når vi kan bekræfte, at monsteret findes.

Når vi har indsamlet nok knogler fra et monster, er vi klar til at se på dets potentielle størrelse, fare og mulige habitat. Derefter kan vi begynde næste fase, som er en reel aktiv undersøgelse, der kan føre os til den mystiske bjergsø. Vi går på denne måde igennem en række af niveauer, når vi skal identificere nye farer. Hvis vi er heldige, kan vi finde et monster, og i de fleste tilfælde, som med Regin, observerer og lærer vi af det levende monsters opførsel. Vi registrerer simpelthen hvert enkelt trin. Det kræver kort sagt megen tid og stor tålmodighed.

Nål i høstak

Mens nogle af beviserne på Regin dukkede tidligt op på vores radar, fortsatte vi med at finde yderligere prøver og artefakter til undersøgelsen. Vi kendte ikke meget til Regins liv eller eksistens, men vi vidste, at den fandtes derude, da vi med tiden fandt flere og flere små fragmenter. Og her kan jeg igen drage en parallel til palæontologien, hvor der i det store billede kun er opdaget en lille del af hele dyret. Men vi havde nu alligevel tilstrækkelig viden til at kunne advare offentligheden.

Hos Kaspersky Lab behandler vi hundredtusindvis af prøver hver eneste dag. Kunsten er at finde ud af, hvilke der er væsentlige, og hvilke der hører sammen som en del af et større APT-angreb. Det kan sammenlignes med at finde nåle i en kæmpe høstak for derefter finde ud af, hvilke der tilhører samme syning.

2015 byder på flere angreb

Vi forudser, at vi i 2015 vil opleve, at store APT-grupper splitter sig op i mindre enheder, som så opererer uafhængigt af hinanden. Dette vil ske, da sikkerhedsfirmaer presser på for eksponering af disse APT-grupper. Det vil resultere i, at flere virksomheder bliver ramt, da de mindre grupper kan diversificere deres angreb. Samtidig betyder det, at større virksomheder, som tidligere blev ramt af to til tre store APT-grupper, nu vil se mere forskelligartede angreb, der kommer fra flere kilder.


TAGS
kaspersky
Sikkerhedszonen

DEL DENNE
Share

Seneste Tech test
Seneste konkurrencer

Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

Alt om DATA

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@altomdata.dk

Datatid TechLife

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@datatid.dk

Audio Media A/S

CVR nr. 16315648,
Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg / Prislister:
Lars Bo Jensen: lbj@audio.dk Telefon: 33 74 71 16
Annoncer: Medieinformation


Alt om DATA, Datatid TechLife  © 2019
Privatlivspolitik og cookie information - Audio Media A/S