赛门铁克
木马
计算机病毒

赛门铁克发现一个存在六年之久的木马,政府和企业受波及

下一篇文章

特斯拉与宝马商讨分享电动车技术

反病毒公司赛门铁克(Symantec)发现了一个叫做 Regin(Backdoor.Regin)的异常威胁。这个软件实际上是一个非常强大的木马,它似乎从 2008 年就开始被大范围传播,攻击对象包括政府、产业和个人系统,而且一直没有被发现。它使用了复杂的加密和定位系统来窃取目标的信息。

赛门铁克已经就这个新发现的威胁发表了一份白皮书,其中提到它跟日前专门攻击伊朗核反应堆的 Stuxnet 病毒有相似之处。

那么现在这个恶意软件还存在威胁吗?从赛门铁克目前掌握的情况来看,原来的 Regin 病毒曾经在 2011 年消失,然后在 2013 年重新出现。这个病毒有能力在宿主计算机上完全隐藏自己,直到赛门铁克对它的数据包进行逆向工程之后,他们才得以了解这个病毒的影响范围和危险性。它似乎是一个完全模块化的病毒,控制者可以利用它窃取对象的信息和监视网络流量。fig1-architecture

以下内容摘自赛门铁克的报告

Regin 采用的模块化方式为威胁操作人提供了极大的灵活性,他们在有需要的时候可以针对单独目标的情况读取专门的信息。它有一些非常先进的自定义有效负载(payload),而且擅长入侵专业领域,这点进一步证明了 Regin 的作者拥有大量的资源。Regin 可以实现许多有效负载,它体现了某些远程访问木马(RAT)的典型特性,例如保存截屏、窃取密码、监视网络流量以及恢复已删除文件。我们还发现了一些更加专门和高级的有效负载模块,例如用于 Microsoft IIS 网络服务器的流量监控器,还有用于移动电话基站控制器的流量嗅探器。

根据 Recode 的报道,这个恶意软件还有专门针对航空公司和能源产业的有效负载。这似乎是首次发现隐藏在合法软件中的被感染有效负载。

翻译:关嘉伟(@consideRay

Regin Spying Software Has Been Attacking Governments And Corporations Since 2008