卡巴斯基所提供的Regin平台示意圖

圖片來源: 

賽門鐵克日前揭露精密且複雜的國家級Regin間諜程式之後,資安業者卡巴斯基指出,該惡意程式可能早在2003年就有。另一方面,準備大肆報導美國國案局(NSA)機密文件的新創網站The Intercept指出,Regin應是由美國與英國在背後贊助。

除了賽門鐵克之外,包括卡巴斯基(Kaspersky )實驗室、F-Secure與Fox IT等資安業者也都曾在客戶的系統上發現Regin。在賽門鐵克公布了Regin之後,這些資安業者也都紛紛對外揭露更多與Regin相關的研究。

F-Secure表示,他們相信Regin既非來自中國,也非源自俄國,而且與Stuxnet、Flame 及 Turla/Snake等知名的惡意程式一樣,同被歸類為非常高階的間諜活動。

F-Secure表示,該公司首次發現Regin大概是在2009年初時,當時是在北歐一位客戶的Windows伺服器中所發現。當時的視窗伺服器當機出現了藍色螢幕,追查原因是一個看似無害的pciclass.sys檔所造成,但經過進一步分析發現,這是一隻rootkit隱身程式,這正是Regin的早期變種。該驅動程式是在2008年3月7日所編譯,而更多的樣品則顯示,該間諜活動的日期要比這個時間要早很多,而且這只是多階段威脅的其中一個元件而已。

卡巴斯基則指出,很難精確指出Regin的樣本最早源自何時,但是有些時間戳記可回溯到2003年。Regin這個名字顯然是In Reg的反寫,In Reg也就是 In Registry 的簡寫,因為惡意程式能夠將它的模組儲存在registry裡。而這個名字還有相關偵測則首先出現在2011年3月的防毒產品裡。

Regin到底是透過什麼路徑開始感染的,如今還是個謎,雖然目前有理論認為,是利用瀏覽器的零時差漏洞的中間人攻擊。此外,卡巴斯基分析其通訊及C&C(命令與控制)機制時發現,其中一個C&C伺服器IP位於台灣的台中。

The Intercept報導則進一步將背後的操控者指向是英、美兩國。其報導指出,Fox IT的安全專家Ronald Prins曾受僱協助比利時電信Belgacom 清除Regin,Prins分析Regin再對照外洩的國安局文件,他相信Regin是美國與英國所使用的間諜工具。

其他線索也顯示,美國國安局(NSA)或英國政府通訊總部(GCHQ)最可能是開發與操控Regin的首腦。例如,以感染區域來看,蘇聯佔了28%,沙烏地阿拉伯佔了24%,墨西哥與愛爾蘭皆佔9%,印度、阿富汗、伊朗、比利時、奧地利與巴基斯坦則各自佔了5%。而美國、英國、澳洲、加拿大及紐西蘭則全身而退。

↓ 感染分布,圖片來源:賽門鐵克。

另一方面,在2013年曾被爆料身為NSA與GCHQ攻擊目標的比利時電信也是Regin的受害者,受到NSA與GCHQ監控的密碼學家Jean-Jacques Quisquater亦為Regin的受害者。

NSA與GCHQ的合作有跡可循,去年10月英國《衛報》報導美、英兩國試圖透過Firefox瀏覽器的漏洞監聽Tor網路用戶,同月華盛頓郵報報導美、英兩國聯手監聽Google與Yahoo資料中心,去年12月又有報導指稱美、英共同監控魔獸世界(World of Warcraft)、Second Life與Xbox Live等遊戲社群,今年1月有消息指出美、英透過憤怒鳥與Google Maps等行動程式蒐集個人資料,今年3月傳出GCHQ竊取上百萬Yahoo Messenger用戶的視訊照片。

The Intercept隸屬於標榜「原始及獨立新聞」的First Look Media新聞組織,並在今年2月成立The Intercept,此一出版平台短期內最重要的任務在於報導來自NSA前員工Edward Snowden所提供的機密文件,長期目標則是產出對抗各種議題的敵對新聞內容(adversarial journalism),並擔保新聞編輯的獨立。

對於最近浮上台面的Regin與相關指控,美國國安局(NSA)與英國的政府通訊總部(GCHQ)皆拒絕回應。(編譯/陳曉莉)

熱門新聞

Advertisement