瑞晶

一款恶意软件

瑞晶[注 1](英語:Regin)是美国国家安全局英国政府通信总部使用的一个复杂恶意软件黑客工具包[1][2],于2014年11月被卡巴斯基实验室赛门铁克The Intercept首次公开披露,[3][4]被称为“最复杂的恶意软件之一”[5]、“国家级病毒”[6]。卡巴斯基实验室表示,该实验室首次发现瑞晶于2012年春季,但其中一些最早的样本可追溯到2003年[7]

瑞晶
美国国家安全局的徽标
英国政府通信总部的办公大楼
開發者美国国家安全局英国政府通信总部
首次发布2014年11月 (2014-11)
操作系统Windows
类型恶意软件

赛门铁克则称,瑞晶使用了隐形技术,可躲避一些反病毒软件的检测,可用于对目标的长期监视活动[8]

结构及命名

编辑

在设计上,瑞晶使用一种“模块化”的方法,允许它加载与攻击目标相定制的功能,从而实现特定的间谍活动,使得瑞晶非常适合针对目标的持久、长期、大规模的监视[5][9][10]。这与火焰等其他恶意软件的方法相同,有些功能还与2011年9月发现的Duqu英语Duqu恶意软件类似[5]。其背后的黑客可以通过监视屏幕、远程控制等渠道来定制攻击的方法[11]。瑞晶还可以捕获和传输密码、恢复已经删除的文件、监控网络流量[11]

但瑞晶也是隐秘的,不会在受感染的系统上存储多个文件;相反,它经过多层加密,使用自己的加密虚拟文件系统,它包含在一个从名称上来看无害的单个文件中,并采用了很少使用的RC5密码的变体加密[10]

赛门铁克表示,这款恶意程序有五个阶段,它只在执行完第一阶段后才会执行下一阶段,每一个阶段“都非常隐蔽和加密,除了第一阶段”。还称瑞晶的每一阶段所能提供的有关完整程序包的信息都非常有限,只有拦截了全部五个阶段,才有可能分析和理解具体的威胁。[5][11]

赛门铁克表示,它和卡巴斯基都将恶意软件定义为Backdoor.Regin。Backdoor即中文中的“后门”。[6][12]卡巴斯基和赛门铁克都发布了白皮书,其中包含了解恶意软件的相关信息。 [13][14]

发起者

编辑

德国新闻杂志《明镜》在2013年6月报道称,美国国家安全局欧盟的公民和机构进行了在线监控。这些信息来自前国家安全局工作人员爱德华·斯诺登获得的秘密文件,他在2013年6月揭露了美国从2007年开始的棱镜计划,并完整曝光了与瑞晶相关的US-984XN监控计划。该计划年度预算为2000万美金,可监控从手机通讯到网络通讯的各种通讯方式,且由美国国家安全局直接介入。[6]

The Intercept报道称,2013年时英国政府通信总部袭击了比利时最大的电信公司Belgacom[4]。这些攻击可能导致瑞晶引起安全公司的注意。根据IT安全公司Fox IT的分析,Regin是英国和美国情报机构的工具。Fox IT在其客户的计算机上找到了Regin,根据他们的分析,Regin的部分在NSA ANT目录英语NSA ANT_catalog提及,名称为“Straitbizarre”和“Unitedrake”。《明镜》则称Fox IT的客户是Belgacom。[1]

影响

编辑

在瑞晶全球感染的计算机中,28%在俄罗斯,24%在沙特阿拉伯,9%在墨西哥爱尔兰,5%在印度阿富汗伊朗比利时奥地利巴基斯坦[12]

过去六年里,Regin已在对世界多个目标进行攻击。目前被发现的来自瑞晶的攻击,近半都是针对互联网服务供应商、电信运营商等价值高的企业的顾客。瑞晶的攻击领域还包括能源、航空、研究部门、医院等。但攻击范围并不仅限于这些高价值的目标,近半感染设备来自小企业和普通民众[11]

2014年12月,德国报纸《图片报》报道,瑞晶在安格拉·默克尔的一名工作人员使用的USB闪存驱动器上被发现。德国总理府的所有高安全性笔记本电脑的检查显示没有其他感染。[15]

参见条目

编辑

注释

编辑
  1. ^ 中文译名来自于此网站页面存档备份,存于互联网档案馆)。

参考来源

编辑
  1. ^ 1.0 1.1 Stöcker, Christian; Rosenbach, Marcel. Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe. 2014-11-25 [2019-01-18]. (原始内容存档于2018-11-11) –通过Spiegel Online. 
  2. ^ Rosenbach, Marcel; Schmundt, Hilmar; Stöcker, Christian. Source Code Similarities: Experts Unmask 'Regin' Trojan as NSA Tool. Spiegel Online. 2015-01-27 [2019-01-18]. (原始内容存档于2018-12-07). 
  3. ^ Regin Revealed. Kaspersky Lab. [2014-11-24]. (原始内容存档于2017-05-28). 
  4. ^ 4.0 4.1 Marquis-Boire, Morgan. Secret Malware in European Union Attack Linked to U.S. and British Intelligence. The Intercept. 2014-11-24 [2019-01-18]. (原始内容存档于2015-07-29). 
  5. ^ 5.0 5.1 5.2 5.3 复杂恶意软件Regin隐藏监听多国政府机构. 天极网软件频道. 2014-11-25. (原始内容存档于2018-07-08). 
  6. ^ 6.0 6.1 6.2 小Y. 震撼,史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料,特工級瑞晶間諜軟體一度掃描不出來!. PCDIY. 2014-11-24. (原始内容存档于2018-04-11). 
  7. ^ Virus News. Regin: a malicious platform capable of spying on GSM networks. 2014-11-24 [2019-01-18]. (原始内容存档于2015-05-30). 
  8. ^ 若水. 赛门铁克曝新恶意软件:6年前就被用于监视政府机构. 凤凰科技. 2014-11-24. (原始内容存档于2014-11-27). 
  9. ^ Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts. The Hacking Post - Latest hacking News & Security Updates. [2019-01-18]. (原始内容存档于2017-02-18). 
  10. ^ 10.0 10.1 NSA, GCHQ or both behind Stuxnet-like Regin malware?. scmagazineuk.com. 2014-11-24 [2014-11-25]. (原始内容存档于2016-06-16). 
  11. ^ 11.0 11.1 11.2 11.3 Regin是什么 Regin病毒软件有什么危害. 西西软件园. 2014-11-25. (原始内容存档于2015-05-12). 
  12. ^ 12.0 12.1 Regin: Top-tier espionage tool enables stealthy surveillance. Symantec. 2014-11-23 [2014-11-25]. (原始内容存档于2018-11-26). 
  13. ^ Regin White Paper (PDF). Symantec. [2014-11-23]. (原始内容 (PDF)存档于2019-09-07). 
  14. ^ Regin White Paper (PDF). Kaspersky Lab. [2014-11-24]. (原始内容 (PDF)存档于2014-11-27). 
  15. ^ German government denies falling victim to cyber attack. Deutsche Welle. 2014-12-29 [2019-01-18]. (原始内容存档于2015-05-06).