Раскрыты новые подробности о высокотехнологическом шпионском ПО Regin

ИБ-исследователи из Symantec продолжают проводить анализ высокотехнологического шпионского ПО Regin. Экспертам удалось обнаружить новые подробности о широком диапазоне возможностей и сложной инфраструктуре вредоноса. 

Напомним , шпионское ПО Regin, появившееся в 2014 году, было разработано спецслужбами для атак на телекоммуникационную сферу, энергетический сектор и сферу здравоохранения России и Саудовской Аравии. Примечательно, что по своей сложности вредонос сравним только с Duqu и Stuxnet, и более того, даже превосходит их в техническом отношении.  

Эксперты выяснили, что Regin имеет модульную систему, которая позволяет удалять и добавлять различные функции в зависимости от цели кибератаки. Некоторые модули Regin контролируют основные функции вредоносного ПО, включая шифрование виртуальной файловой системы. Другие модули выступают в качестве полезной нагрузки, контролируя процесс каждой «инфекции». 

Исследователи из Symantec обнаружили 49 новых модулей, общее число которых теперь составляет 75 модулей. Эксперты отмечают, что это еще не предел. Symantec также обнаружила внушительную C&C-инфраструктуру. Атакующие разработали сложную систему для связи с серверами, в которой трафик передается через инфицированные Regin устройства. Инфицированные компьютеры могут выступать в качестве прокси-сервера для других зараженных устройств, используя сеть P2P.  

Все C&C-серверы используют сильное шифрование и двухступенчатый протокол. Модуль 0009h отвечает за ядро обработки протоколов связи, в то время, как каждый протокол имеет свой собственный модуль. Эксперты насчитали 6 транспортных протоколов - ICMP, UDP, TCP, HTTP cookie, SSL и SMB.