Geavanceerde spionagetool al sinds 2008 actief

[Captain Kirk]

Onderzoekers hebben een geavanceerde spionagetool ontdekt die al zeker sinds 2008 actief is, maar hoe de malware zich verspreidt is nog altijd een raadsel. De tool wordt door Symantec Regin genoemd en is ontwikkeld om informatie van aangevallen organisaties te verzamelen. Eenmaal actief kan de malware screenshots maken, wachtwoorden stelen, netwerkverkeer monitoren en informatie over processen en geheugengebruik verzamelen. Ook kan het naar verwijderde bestanden op een besmette computer zoeken en die herstellen.

De ontwikkelaars van Regin hebben de malware zo ontwikkeld dat die allerlei modules ondersteunt. Onderzoekers ontdekten bijvoorbeeld een module om het netwerkverkeer van Microsoft Internet Information Services (IIS) webservers te onderscheppen. Een andere module was gemaakt om verkeer van basisstationscontrollers voor mobiele telefoons te verzamelen, terwijl een derde module in staat was om e-mail van Exchange-databases te parsen.

Regin zou allerlei maatregelen nemen om niet te worden ontdekt, waarbij waardevolle informatie die de malware aantreft niet naar de harde schijf wordt geschreven. Zo gebruikt de spionagetool versleutelde virtuele bestandssysteembestanden om databestanden in op te slaan. Volgens Symantec verschilt Regin van andere zogeheten "Advanced Persistent Threats" (APTs) omdat deze categorie vaak intellectueel eigendom probeert te stelen, terwijl Regin is ontwikkeld om aangevallen organisaties of individuen continu te monitoren. Infecties werden zowel bij individuen als organisaties aangetroffen, waaronder in België en Oostenrijk. Wie de malware heeft ontwikkeld is onbekend, maar het Finse anti-virusbedrijf F-Secure denkt niet dat Regin uit China of Rusland afkomstig is.

bron: security.nl

Aanvulling:

Het zeer geavanceerde spionagevirus Regin dat vandaag werd geopenbaard is door de Amerikaanse en Britse inlichtingendiensten ontwikkeld. Dat beweert het Delftse beveiligingsbedrijf Fox-IT, dat de malware bij de Belgische telecomaanbieder Belgacom aantrof en verwijderde. CTO Ronald Prins stelt tegenover The Intercept had het "de meest geavanceerde malware" was die hij ooit had gezien.

"Na het analyseren van deze malware en naar de eerder gepubliceerde Snowden-documenten te kijken, ben ik ervan overtuigd dat Regin wordt gebruikt door de Britse en Amerikaanse inlichtingendiensten", merkt Prins op. Collega Erik de Jong vertelt tegenover BNR dat de technische analyse en informatie van Snowden naar de Amerikanen en Britten wijzen. "Het zijn puzzelstukjes die heel mooi in elkaar passen."

Belgacom wil niet bevestigen dat het door de Regin-malware was getroffen. In de komende weken zal The Intercept meer details over Regin publiceren, alsmede de infiltratie bij Belgacom. Het gaat hier om een onderzoek dat samen met de Belgische krant de Standaard en het NRC Handelsblad zal worden uitgevoerd. Om het onderzoek naar de malware te helpen heeft de website exemplaren van Regin in een zip-bestand verzameld die het nu aanbiedt.

Aanvulling 28 november 2014: Regin-malwaouder en geavanceerder dan Stuxnet

De Regin-malware die deze week door verschillende anti-virusbedrijven werd onthuld is volgens één van de onderzoekers ouder en geavanceerder dan Stuxnet, de malware die werd ingezet om de uraniumverrijkingscentrale in het Iraanse Natanz te saboteren. Ondanks alle aandacht voor de complexiteit van Regin is er ook kritiek op de anti-virusbedrijven, alsmede de inlichtingendiensten die de malware zouden gebruiken.

Regin is volgens Symantec al sinds 2008 in gebruik, terwijl Kaspersky Lab zelfs een compilatiedatum van 2003 voorbij zag komen. De malware gebruikt allerlei technieken om detectie te voorkomen. Zo is het nog altijd onbekend hoe Regin computers infecteert. "Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit", zegt Costin Raiu, onderzoeksdirecteur bij Kaspersky.

Volgens Raiu is Regin ook compacter. Een volledige Flame-infectie bedraagt 20MB. Regin is ongeveer 8MB groot, waaronder het virtuele bestandssysteem dat het gebruikt om waardevolle data op te slaan. "Ik denk dat Regin waarschijnlijk ouder is dan Stuxnet en Flame en geavanceerder", zegt de onderzoeker tegenover Dark Reading.

Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte. Het Finse F-Secure ontdekte Regin al in het begin van 2009 op de Windowsserver van een Noord-Europese klant. Ook zou in dat jaar een onderdeel van Regin via de online virusscanwebsite VirusTotal zijn gecontroleerd. Toch publiceerden Symantec en Kaspersky deze week pas hun rapporten en kwam ook F-Secure met een eigen analyse.

"Anti-virusbedrijven houden staatsmalware jaren geheim en proberen vervolgens voor marketingdoeleinden als eerste de scoop te hebben", zegt beveiligingsonderzoeker Claudio Guarnieri. Hij merkt op dat beveiligingsaanbieders zeker al sinds 2011 van Regin wisten. De onderzoeker zou zelf al maanden met een onderzoek naar de malware bezig zijn en zich nu in de afrondende fase bevinden. "Interessante timing", zegt hij over de publicaties die deze week verschenen.

Als reden voor de trage reactie verklaart Symantec tegenover The Register dat de malware zeer complex is en de onderzoekers eerst niet wisten waar ze mee te maken hadden. Daarnaast was het één van de vele malware-exemplaren die de virusbestrijder elke dag voorbij ziet komen. Ook zijn er wereldwijd niet veel Regin-infecties bekend, waardoor de malware in de luwte kon blijven opereren.

Het Delftse beveiligingsbedrijf Fox-IT liet deze week weten dat Regin door de Amerikaanse inlichtingendienst NSA en Britse inlichtingendienst GCHQ is ontwikkeld. Daardoor is er ook sprake van een juridisch component, stelt Eric King, adjunct-directeur van privacyorganisatie Privacy International. Volgens King is er geen instantie in Groot-Brittannië die de bevoegdheid heeft om het gebruik van spionagesoftware zoals Regin toe te staan, waarbij wordt voldaan aan de voorwaarden van het Europees hof voor de Rechten van de Mens. Dat zou inhouden dat de GCHQ bij het inzetten van Regin illegaal bezig is geweest, aldus King.

bron: security.nl

28 november 2014 aangepast door Captain Kirk

[Sarah]

Heb je opmerkingen of vragen over deze "Waarschuwing", post deze dan in de passende forumonderdelen.

[Hensyr]

Onderzoekers hebben een geavanceerde spionagetool ontdekt die al zeker sinds 2008 actief is,

Amai...al zeker actief sinds 2008 en nu pas ontdekt!

Stel ik me zeer de vraag wie daarachter zit.

Als een dergelijk beestje als Regin zo lang heeft kunnen verborgen blijven moet het wel zeer geavanceerd in elkaar gestoken zijn geweest.

Bij dergelijke ontdekkingen wordt dan meteen ook de schrik gevoed dat dit niet meer door een gewone hacker is gemaakt die gegevens van banken ontfutseld maar door een goed gefinancierde organisatie.