ใครเป็นผู้สร้างมัลแวร์ Regin

ไม่กี่สัปดาห์ที่ผ่านมาไซแมนเทคผู้จำหน่ายระบบรักษาความปลอดภัยพบมัลแวร์ขั้นสูงที่ระบุว่าใช้ในการเฝ้าระวังตั้งแต่อย่างน้อยปี 2008.

โทรจันซึ่งเป็น บริษัท ที่ชื่อว่า Regin เป็นแพลตฟอร์มแบบโมดูลาร์ที่ซับซ้อนผิดปกติซึ่งมีความสามารถในการปรับแต่งด้วยความสามารถที่แตกต่างกันรวมถึงการตรวจสอบเครือข่าย GSM ขึ้นอยู่กับเป้าหมายที่ตั้งใจไว้.

บล็อกโพสต์ของไซแมนเทคกล่าวว่ามันถูกใช้เพื่อสอดแนมใน“ หน่วยงานราชการผู้ให้บริการโครงสร้างพื้นฐานธุรกิจนักวิจัยและบุคคลทั่วไป”

ความสามารถของ Regin จาก Symantec ชี้ให้เห็นว่ามันถูกสร้างขึ้นโดยรัฐชาติเพื่อจุดประสงค์ในการสอดแนมผู้อื่น.

แน่นอนว่าจะนำไปสู่คำถามหลายข้อเกี่ยวกับโทรจันที่เพิ่งค้นพบใหม่รวมถึงวิธีที่มันสามารถหลบเลี่ยงการตรวจจับได้เป็นเวลานานผู้ถูกนำมาใช้ต่อต้านและน่าสนใจที่สุดที่สร้างมันขึ้นมา?

สำหรับวิธีที่ Regin สามารถหลบเลี่ยงการตรวจจับได้เป็นเวลาอย่างน้อยหกปีคำตอบนั้นง่ายอย่างน่าประหลาดใจ – ในขณะที่ผู้อ่านหลายคนอาจคิดว่ามัลแวร์ทุกตัวในป่าเป็นรหัสที่ซับซ้อนจริง ๆ ในการออกแบบและตรวจจับได้ง่าย ในกรณีของ Regin สิ่งที่ตรงกันข้ามนั้นเป็นจริง – โทรจันเป็นงานที่ซับซ้อนซึ่งออกแบบมาเพื่อหลบการตรวจจับโดยเฉพาะ ไซแมนเทคยังแสดงความคิดเห็นว่าเมื่อตรวจพบแล้วมันก็ยากมากที่จะตัดสินว่ามัลแวร์นั้นทำอะไรจึงทำให้เป็นตัวเลือกที่เหมาะสมที่สุดสำหรับการปฏิบัติหน้าที่เฝ้าระวังระยะยาว.

คำถามที่สองคือใครเคยใช้เรจินมาก่อนตอบยากกว่ามาก ธรรมชาติที่ซ่อนตัวรวมถึงความไม่เต็มใจของเป้าหมายที่จะยอมรับว่าพวกเขาตกเป็นเหยื่อของมันหมายความว่าข้อมูลสรุปไม่สามารถได้รับ ไซแมนเทคได้ข้อสรุปว่าเกือบครึ่ง (48%) ของผู้ที่ตกเป็นเหยื่อจะเป็นบุคคลหรือธุรกิจขนาดเล็ก เป้าหมายอีก 28% อยู่ในกลุ่มธุรกิจโทรคมนาคมขณะที่กลุ่มเป้าหมายอื่น ๆ อยู่ในอุตสาหกรรมการวิจัยการบริการพลังงานและสายการบิน.

การสลายตัวของการติดเชื้อโดยประเทศให้ความช่วยเหลือเพียงเล็กน้อยในการระบุแหล่งที่มาของ Regin ที่มีการตรวจพบในหลายประเทศ เป้าหมายหลักซึ่งอ้างอิงจากข้อมูลของไซแมนเทคในปัจจุบันนั้นดูเหมือนจะเป็นสหพันธรัฐรัสเซีย (28%) และซาอุดิอาระเบีย (24%) ถึงแม้ว่าประเทศอื่น ๆ เช่นไอร์แลนด์เม็กซิโกเบลเยียมและออสเตรียก็ได้รับผลกระทบเช่นกัน.

ยิ่งไปกว่านั้นคำตอบสำหรับผู้ที่สร้าง Regin นั้นหายากและการเก็งกำไรก็มากมาย.

ไซแมนเทคค่อนข้างจะล้มเหลวในการชี้นิ้วไปในทิศทางใดโดยเฉพาะบันทึกว่า “ระดับของทรัพยากรที่อยู่เบื้องหลัง Regin ระบุว่าเป็นหนึ่งในเครื่องมือการบุกรุกทางไซเบอร์หลักที่รัฐชาติใช้”

ในทำนองเดียวกันผู้ผลิต Kaspersky Lab ของรัสเซียก็มีท่าทีที่จะตำหนินิ้วมือในทิศทางใด ๆ ในการเขียนบทความของตัวเองของ Regin นั้นจริง ๆ แล้วจะทำให้น้ำขุ่นมากขึ้นโดยการเน้นประเทศที่ได้รับผลกระทบเพิ่มเติมรวมถึงเยอรมนีและบราซิลในขณะที่ยังชี้ให้เห็นว่าประเทศเล็ก ๆ เช่นฟิจิและคิริบาติปรากฏเป็นเป้าหมายอย่างไร.

บริษัท ซึ่งแนะนำว่า Regin อาจอยู่ในช่วงต้นปี 2546 ได้เผยแพร่เวลาการพัฒนาสำหรับมัลแวร์ซึ่งแนะนำกิจกรรมส่วนใหญ่ที่ถูก จำกัด อยู่ในช่วงเวลา 10:00 น. ถึง 21:00 น. (GMT) ในขณะนี้สามารถทำได้พร้อมกับชื่อไฟล์เสียงอังกฤษสำหรับโมดูลต่าง ๆ (WILLISCHECK, LEGSPIN, HOPSCOTCH และ U-STARBUCKS) ได้รับการตีความอย่างสมเหตุสมผลว่าการพัฒนาความหมายเกิดขึ้นในสหราชอาณาจักรหรือประเทศในยุโรปอื่น Kaspersky ค่อนข้างถูกต้อง และการประทับเวลาอาจบอกได้อย่างง่ายดาย“ การตั้งค่าสถานะผิดพลาดโดยเจตนาหรือตัวบ่งชี้ที่ไม่สำคัญโดยนักพัฒนา”

ดังนั้นสิ่งที่เราเหลือคือปริศนาและสิ่งหนึ่งที่อาจไม่สามารถแก้ไขได้ การจารกรรมเป็นธุรกิจที่จริงจังและไม่มีผู้กระทำความผิดที่ต้องการถูกจับในการกระทำ ดังนั้นจึงไม่แปลกที่จะรู้ว่าใครก็ตามที่สร้าง Regin จะทิ้งร่องรอยไว้ในรหัสและเวลาในการพัฒนาที่นำไปสู่การผิดที่สมบูรณ์.

สิ่งที่แน่นอนคือความจริงที่ว่า Regin เป็นเครื่องมืออีกอย่างที่ออกแบบมาเพื่อการสอดแนมไม่เพียง แต่ในรัฐบาลและองค์กรขนาดใหญ่ แต่ยังรวมถึงธุรกิจขนาดเล็กและบุคคลด้วย ดังนั้นไม่ว่าใครจะเป็นผู้สร้างเราที่ ExpressVPN ไม่ชอบ: เราเชื่อว่าบุคคลมีสิทธิในเสรีภาพส่วนบุคคลและความเป็นส่วนตัว – นั่นคือเหตุผลที่เราเสนอให้คุณผู้ใช้ของเราบริการที่ง่ายและใช้งานง่าย.