瑞晶

一款恶意软件

瑞晶[注 1](英語:Regin)是美國國家安全局英國政府通信總部使用的一個複雜惡意軟件黑客工具包[1][2],於2014年11月被卡巴斯基實驗室賽門鐵克The Intercept首次公開披露,[3][4]被稱為「最複雜的惡意軟件之一」[5]、「國家級病毒」[6]。卡巴斯基實驗室表示,該實驗室首次發現瑞晶於2012年春季,但其中一些最早的樣本可追溯到2003年[7]

瑞晶
美國國家安全局的徽標
英國政府通信總部的辦公大樓
開發者美國國家安全局英國政府通信總部
首次發布2014年11月 (2014-11)
操作系統Windows
類型惡意軟件

賽門鐵克則稱,瑞晶使用了隱形技術,可躲避一些反病毒軟件的檢測,可用於對目標的長期監視活動[8]

結構及命名

編輯

在設計上,瑞晶使用一種「模塊化」的方法,允許它加載與攻擊目標相定製的功能,從而實現特定的間諜活動,使得瑞晶非常適合針對目標的持久、長期、大規模的監視[5][9][10]。這與火焰等其他惡意軟件的方法相同,有些功能還與2011年9月發現的Duqu英語Duqu惡意軟件類似[5]。其背後的黑客可以通過監視屏幕、遠程控制等渠道來定製攻擊的方法[11]。瑞晶還可以捕獲和傳輸密碼、恢復已經刪除的文件、監控網絡流量[11]

但瑞晶也是隱秘的,不會在受感染的系統上存儲多個文件;相反,它經過多層加密,使用自己的加密虛擬文件系統,它包含在一個從名稱上來看無害的單個文件中,並採用了很少使用的RC5密碼的變體加密[10]

賽門鐵克表示,這款惡意程序有五個階段,它只在執行完第一階段後才會執行下一階段,每一個階段「都非常隱蔽和加密,除了第一階段」。還稱瑞晶的每一階段所能提供的有關完整程序包的信息都非常有限,只有攔截了全部五個階段,才有可能分析和理解具體的威脅。[5][11]

賽門鐵克表示,它和卡巴斯基都將惡意軟件定義為Backdoor.Regin。Backdoor即中文中的「後門」。[6][12]卡巴斯基和賽門鐵克都發布了白皮書,其中包含了解惡意軟件的相關信息。 [13][14]

發起者

編輯

德國新聞雜誌《明鏡》在2013年6月報道稱,美國國家安全局歐盟的公民和機構進行了在線監控。這些信息來自前國家安全局工作人員愛德華·斯諾登獲得的秘密文件,他在2013年6月揭露了美國從2007年開始的稜鏡計劃,並完整曝光了與瑞晶相關的US-984XN監控計劃。該計劃年度預算為2000萬美金,可監控從手機通訊到網絡通訊的各種通訊方式,且由美國國家安全局直接介入。[6]

The Intercept報道稱,2013年時英國政府通信總部襲擊了比利時最大的電信公司Belgacom[4]。這些攻擊可能導致瑞晶引起安全公司的注意。根據IT安全公司Fox IT的分析,Regin是英國和美國情報機構的工具。Fox IT在其客戶的計算機上找到了Regin,根據他們的分析,Regin的部分在NSA ANT目錄英語NSA ANT_catalog提及,名稱為「Straitbizarre」和「Unitedrake」。《明鏡》則稱Fox IT的客戶是Belgacom。[1]

影響

編輯

在瑞晶全球感染的計算機中,28%在俄羅斯,24%在沙特阿拉伯,9%在墨西哥愛爾蘭,5%在印度阿富汗伊朗比利時奧地利巴基斯坦[12]

過去六年裡,Regin已在對世界多個目標進行攻擊。目前被發現的來自瑞晶的攻擊,近半都是針對互聯網服務供應商、電信運營商等價值高的企業的顧客。瑞晶的攻擊領域還包括能源、航空、研究部門、醫院等。但攻擊範圍並不僅限於這些高價值的目標,近半感染設備來自小企業和普通民眾[11]

2014年12月,德國報紙《圖片報》報道,瑞晶在安格拉·默克爾的一名工作人員使用的USB閃存驅動器上被發現。德國總理府的所有高安全性筆記本電腦的檢查顯示沒有其他感染。[15]

參見條目

編輯

注釋

編輯
  1. ^ 中文譯名來自於此網站頁面存檔備份,存於網際網路檔案館)。

參考來源

編輯
  1. ^ 1.0 1.1 Stöcker, Christian; Rosenbach, Marcel. Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe. 2014-11-25 [2019-01-18]. (原始內容存檔於2018-11-11) –透過Spiegel Online. 
  2. ^ Rosenbach, Marcel; Schmundt, Hilmar; Stöcker, Christian. Source Code Similarities: Experts Unmask 'Regin' Trojan as NSA Tool. Spiegel Online. 2015-01-27 [2019-01-18]. (原始內容存檔於2018-12-07). 
  3. ^ Regin Revealed. Kaspersky Lab. [2014-11-24]. (原始內容存檔於2017-05-28). 
  4. ^ 4.0 4.1 Marquis-Boire, Morgan. Secret Malware in European Union Attack Linked to U.S. and British Intelligence. The Intercept. 2014-11-24 [2019-01-18]. (原始內容存檔於2015-07-29). 
  5. ^ 5.0 5.1 5.2 5.3 复杂恶意软件Regin隐藏监听多国政府机构. 天極網軟件頻道. 2014-11-25. (原始內容存檔於2018-07-08). 
  6. ^ 6.0 6.1 6.2 小Y. 震撼,史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料,特工級瑞晶間諜軟體一度掃描不出來!. PCDIY. 2014-11-24. (原始內容存檔於2018-04-11). 
  7. ^ Virus News. Regin: a malicious platform capable of spying on GSM networks. 2014-11-24 [2019-01-18]. (原始內容存檔於2015-05-30). 
  8. ^ 若水. 赛门铁克曝新恶意软件:6年前就被用于监视政府机构. 鳳凰科技. 2014-11-24. (原始內容存檔於2014-11-27). 
  9. ^ Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts. The Hacking Post - Latest hacking News & Security Updates. [2019-01-18]. (原始內容存檔於2017-02-18). 
  10. ^ 10.0 10.1 NSA, GCHQ or both behind Stuxnet-like Regin malware?. scmagazineuk.com. 2014-11-24 [2014-11-25]. (原始內容存檔於2016-06-16). 
  11. ^ 11.0 11.1 11.2 11.3 Regin是什么 Regin病毒软件有什么危害. 西西軟件園. 2014-11-25. (原始內容存檔於2015-05-12). 
  12. ^ 12.0 12.1 Regin: Top-tier espionage tool enables stealthy surveillance. Symantec. 2014-11-23 [2014-11-25]. (原始內容存檔於2018-11-26). 
  13. ^ Regin White Paper (PDF). Symantec. [2014-11-23]. (原始內容 (PDF)存檔於2019-09-07). 
  14. ^ Regin White Paper (PDF). Kaspersky Lab. [2014-11-24]. (原始內容 (PDF)存檔於2014-11-27). 
  15. ^ German government denies falling victim to cyber attack. Deutsche Welle. 2014-12-29 [2019-01-18]. (原始內容存檔於2015-05-06).