Експертите по компютърна сигурност от Symantec твърдят, че са открили зловреден софтуер, тип "троянски кон", който, изглежда, се използва за шпионаж в интернет, както и за телекомуникационните услуги.
Софтуерът вероятно е създаден от правителствена агенция. Произходът му засега остава неясен, но в списъка със страните, които биха могли да стоят зад него, попадат със сигурност САЩ, Израел и Китай.
Докладът за новия зловреден софтуер е дело на същия екип от Symantec, който преди четири години откри и анализира възможностите на Stuxnet - първото цифрово оръжие в света. Счита се, че то е било създадено със съвместните усилия на САЩ и Израел и е било използвано за саботаж на иранската програма за ядрени изследвания.
Екипът нарича новооткрития троянски кон - Regin, както се съобщава в публикация в блога на Symantec, и го описва като "сложен зловреден софтуер, чиято структура демонстрира ниво на техническа компетентност, рядко наблюдавано до този момент".
Според експертите, инструментът разполага с "широка гама от възможности", които осигуряват на контролиращите го "мощна платформа за масово подслушване и шпионаж".
Изследователите твърдят, че Regin се използва в продължаваща и в момента операция за подслушване, която е стартирала през 2008 година, прекратена е за кратко през 2011-та, и после възобновена отново през 2013-та.
Мащабната подслушвателна кампания е била провеждана срещу правителствени организации, компании, учени и частни лица.
Около 100 заразявания с Regin са открити до този момент, съобщават от Symantec, като повечето - общо 52% - са в Русия и Саудитска Арабия. Останалите зарази са регистрирани в Мексико, Ирландия, Индия, Афганистан, Иран, Белгия, Австрия и Пакистан.
Не се съобщава за наблюдавани заразявания с Regin в САЩ или Китай.
Symantec за първи път са научили за Regin, след като техни клиенти са открили части от кода и са го изпратили за анализ.
"Разбрахме, че е налице нещо повече от това, което ни се изпраща и се заехме да проучим по-внимателно ситуацията", казва Лиъм О'Мърчу, един от членовете на екипа на Symantec.
"Нашият софтуерът за сигурност вече може да открива Regin", твърди той.
Нивото на дизайна на Regin и необходимите за създаването му инвестиции са такива, че почти гарантирано той е произведен на държавно равнище, казва О'Мърчу.
Запитан обаче коя конкретна държава може да го е разработила или поръчала, той отказва да назове конкретни имена.
"Единствения ориентир, с който разполагаме към момента, е къде е имало заразявания и къде не", заявява специалистът в интервю.
"Знаем, че става дума за правителство, което е с доста добри технологични възможности... Говорим за мащабна кампания за подслушване, датираща поне от 2008-ма, може би дори чак от 2006-та година".
Като се има предвид списъкът със страни-мишени на подслушване, не е особено сложно да предположим, че зад Regin може би стои Националната агенция за сигурност на САЩ (NSA), може би в партньорство с Израел. Има обаче и други възможни създатели на зловредния софтуер, примерно Китай.
Доста подробности за Regin все още остават неизвестни.
Екипът е публикувал повече технически подробности около това, което е известно до този момент, в "бяла книга" от 21 страници.
Има все още части от него, които така и не са били открити и анализирани. Ето какво със сигурност е установено до този момент:
Regin атакува системи, работещи с Microsoft Windows.
Той атакува на етапи и изисква пет компонента. Само първата фаза от заразяването е откриваема - тя отваря вратичка в системата за следващите фази, всяка от които разкодира и изпълнява следващия компонент от софтуера.
В този аспект заразяването е сходно със Stuxnet и сродния му троянски кон Duqu, проектиран да събира разузнавателна информация.
Почти половината от заразяванията с Regin са се случили при интернет доставчици, чиито клиенти са били по някаква причина мишена. Други фирми, жертви от вируса, са доставчици на телекомуникационни услуги, хотели, фирми за организиране на събития, енергийни компании, авиокомпании и научни центрове.
Остава неясно засега как се разпространява зловредният софтуер.
В един от случаите - но засега само в един - вирусът е пренесен чрез Yahoo Instant Messenger. В други случаи, според Symantec, жертвите са били подведени да посетят фалшифицирани версии на популярни уеб сайтове.
"Освен този единствен случай, нямаме категорична информация как е бил разпространяван зловредният софтуер", коментира О'Мърчу.
След като компютърът бъде заразен, контролиращите Regin могат да го заредят с каквито други функции преценят, за да изпълнява целите на подслушването.
Ако цитираме Symantec: "Някои от заложените вътре функции са изключително сложни и демонстрират сериозен опит в специализирани сектори", например опит в авиокомпании или енергийни фирми.
Това е "допълнително потвърждение за многото ресурси, които са били на разположение на авторите на Regin", заявяват от компанията.
Съществуват десетки варианти за употреба на шпионския софтуер чрез допълнителни модули.
В няколко случаи е открит инструмент за отдалечен достъп, който дава на атакуващия възможност да поеме дистанционно контрола над компютъра - да копира файлове от твърдия диск, да включва уеб камери или микрофони. Средствата за отдалечен достъп се използват понякога и за запис на натисканите клавиши - за кражба на пароли за достъп. Някои от по-комплексните модули на вируса, открити на заразени с Regin системи, включват софтуер за следене на мрежовия трафик и инструмент за управление на базови станции за мобилни телефони.
Създателите на Regin са положили огромни усилия софтуерът и комуникациите му със създателите му да бъдат максимално неоткриваеми
"Дори когато е установено наличието му в заразените системи, изключително трудно е да се установи какво точно прави той," обявяват от Symantec.
Няколко компонента на Regin все още се разпространяват в глобалната мрежа и остават неоткрити, твърди О'Мърчу. Той се надява след публикуването на информацията от Symantec да стане достъпна още информация от други експерти по сигурността, сблъсквали се с този глобален троянски кон.
