瑞晶
瑞晶[注 1](英語:Regin)是美國國家安全域及英國政府通訊總部使用的一個複雜惡意軟件和黑客工具包[1][2],於2014年11月被卡巴斯基實驗室、賽門鐵克和The Intercept首次公開披露,[3][4]被稱為「最複雜的惡意軟件之一」[5]、「國家級病毒」[6]。卡巴斯基實驗室表示,該實驗室首次發現瑞晶於2012年春季,但其中一些最早的樣本可追溯到2003年[7]。
開發者 | 美國國家安全域及英國政府通訊總部 |
---|---|
首次發佈 | 2014年11月 |
作業系統 | Windows |
類型 | 惡意軟件 |
賽門鐵克則稱,瑞晶使用了隱形技術,可躲避一些反病毒軟件的檢測,可用於對目標的長期監視活動[8]。
結構及命名
編輯在設計上,瑞晶使用一種「模組化」的方法,允許它載入與攻擊目標相客製化的功能,從而實現特定的間諜活動,使得瑞晶非常適合針對目標的持久、長期、大規模的監視[5][9][10]。這與火焰等其他惡意軟件的方法相同,有些功能還與2011年9月發現的Duqu惡意軟件類似[5]。其背後的黑客可以通過監視螢幕、遠端控制等渠道來客製化攻擊的方法[11]。瑞晶還可以擷取和傳輸密碼、恢復已經刪除的檔案、監控網絡流量[11]。
但瑞晶也是隱秘的,不會在受感染的系統上儲存多個檔案;相反,它經過多層加密,使用自己的加密虛擬檔案系統,它包含在一個從名稱上來看無害的單個檔案中,並採用了很少使用的RC5密碼的變體加密[10]。
賽門鐵克表示,這款惡意程式有五個階段,它只在執行完第一階段後才會執行下一階段,每一個階段「都非常隱蔽和加密,除了第一階段」。還稱瑞晶的每一階段所能提供的有關完整程式包的資訊都非常有限,只有攔截了全部五個階段,才有可能分析和理解具體的威脅。[5][11]
賽門鐵克表示,它和卡巴斯基都將惡意軟件定義為Backdoor.Regin。Backdoor即中文中的「後門」。[6][12]卡巴斯基和賽門鐵克都發佈了白皮書,其中包含了解惡意軟件的相關資訊。 [13][14]
發起者
編輯德國新聞雜誌《明鏡》在2013年6月報道稱,美國國家安全域對歐盟的公民和機構進行了線上監控。這些資訊來自前國家安全域工作人員愛德華·斯諾登獲得的秘密檔案,他在2013年6月揭露了美國從2007年開始的稜鏡計劃,並完整曝光了與瑞晶相關的US-984XN監控計劃。該計劃年度預算為2000萬美金,可監控從手機通訊到網絡通訊的各種通訊方式,且由美國國家安全域直接介入。[6]
The Intercept報道稱,2013年時英國政府通訊總部襲擊了比利時最大的電訊公司Belgacom[4]。這些攻擊可能導致瑞晶引起安全公司的注意。根據IT安全公司Fox IT的分析,Regin是英國和美國情報機構的工具。Fox IT在其客戶的電腦上找到了Regin,根據他們的分析,Regin的部分在NSA ANT目錄提及,名稱為「Straitbizarre」和「Unitedrake」。《明鏡》則稱Fox IT的客戶是Belgacom。[1]
影響
編輯在瑞晶全球感染的電腦中,28%在俄羅斯,24%在沙特阿拉伯,9%在墨西哥和愛爾蘭,5%在印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦[12]。
過去六年裏,Regin已在對世界多個目標進行攻擊。目前被發現的來自瑞晶的攻擊,近半都是針對互聯網服務供應商、電訊供應商等價值高的企業的顧客。瑞晶的攻擊領域還包括能源、航空、研究部門、醫院等。但攻擊範圍並不僅限於這些高價值的目標,近半感染裝置來自小企業和普通民眾[11]。
2014年12月,德國報紙《圖片報》報道,瑞晶在安格拉·默克爾的一名工作人員使用的USB快閃記憶體驅動器上被發現。德國總理府的所有高安全性手提電腦的檢查顯示沒有其他感染。[15]
參見條目
編輯註釋
編輯參考來源
編輯- ^ 1.0 1.1 Stöcker, Christian; Rosenbach, Marcel. Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe. 2014-11-25 [2019-01-18]. (原始內容存檔於2018-11-11) –透過Spiegel Online.
- ^ Rosenbach, Marcel; Schmundt, Hilmar; Stöcker, Christian. Source Code Similarities: Experts Unmask 'Regin' Trojan as NSA Tool. Spiegel Online. 2015-01-27 [2019-01-18]. (原始內容存檔於2018-12-07).
- ^ Regin Revealed. Kaspersky Lab. [2014-11-24]. (原始內容存檔於2017-05-28).
- ^ 4.0 4.1 Marquis-Boire, Morgan. Secret Malware in European Union Attack Linked to U.S. and British Intelligence. The Intercept. 2014-11-24 [2019-01-18]. (原始內容存檔於2015-07-29).
- ^ 5.0 5.1 5.2 5.3 复杂恶意软件Regin隐藏监听多国政府机构. 天極網軟件頻道. 2014-11-25. (原始內容存檔於2018-07-08).
- ^ 6.0 6.1 6.2 小Y. 震撼,史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料,特工級瑞晶間諜軟體一度掃描不出來!. PCDIY. 2014-11-24. (原始內容存檔於2018-04-11).
- ^ Virus News. Regin: a malicious platform capable of spying on GSM networks. 2014-11-24 [2019-01-18]. (原始內容存檔於2015-05-30).
- ^ 若水. 赛门铁克曝新恶意软件:6年前就被用于监视政府机构. 鳳凰科技. 2014-11-24. (原始內容存檔於2014-11-27).
- ^ Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts. The Hacking Post - Latest hacking News & Security Updates. [2019-01-18]. (原始內容存檔於2017-02-18).
- ^ 10.0 10.1 NSA, GCHQ or both behind Stuxnet-like Regin malware?. scmagazineuk.com. 2014-11-24 [2014-11-25]. (原始內容存檔於2016-06-16).
- ^ 11.0 11.1 11.2 11.3 Regin是什么 Regin病毒软件有什么危害. 西西軟件園. 2014-11-25. (原始內容存檔於2015-05-12).
- ^ 12.0 12.1 Regin: Top-tier espionage tool enables stealthy surveillance. Symantec. 2014-11-23 [2014-11-25]. (原始內容存檔於2018-11-26).
- ^ Regin White Paper (PDF). Symantec. [2014-11-23]. (原始內容 (PDF)存檔於2019-09-07).
- ^ Regin White Paper (PDF). Kaspersky Lab. [2014-11-24]. (原始內容 (PDF)存檔於2014-11-27).
- ^ German government denies falling victim to cyber attack. Deutsche Welle. 2014-12-29 [2019-01-18]. (原始內容存檔於2015-05-06).