Nagyon eldurvult a kémkedő trójai

A Regin trójai készítői nem adják fel a küzdelmet. A károkozó 49 újabb moduljáról hullt le a lepel, miközben az is bebizonyosodott, hogy nem lesz könnyű megszabadulni a nemkívánatos szerzeménytől.
 

A Regin trójai nem egy új keletű kártékony program, hiszen már legalább 2008 óta ostromolja a számítógépeket. A célja elsősorban a kiberkémkedés támogatása, vagyis az adatlopás szofisztikált technikákkal történő megvalósítása. A kártevő az eddigi pályafutása során kormányzati szervezetek rendszereit, kritikus infrastruktúrákat, vállalkozások hálózatait és magánszemélyek számítógépeit is célkeresztbe állította. Sokszor célzott támadásokban kapott szerepet. 

A Regin és a hozzá kapcsolódó botnet igazán csak tavaly lepleződött le, amikor biztonsági cégeknek sikerült felderíteniük a kártékony program működési mechanizmusát, illetve az általa kialakított hálózatot. Úgy tűnik, hogy mindez egy cseppet sem szegte kedvét a trójai mögött álló csoport tagjainak, akik azóta is gőzerővel fejlesztik a károkozót. Egyrészt kibővítették a szerzeményük funkcionalitását, másrészt jelentősen megerősítették a botnetbe kapcsolt rendszerek kommunikációját. Ezzel összességében egy olyan infrastruktúrát állítottak fel, amelynek teljes körű feltérképezése és megbénítása nagyon nehéz feladatnak bizonyul. 

Új modulok

A Symantec biztonsági kutatói a Regin legújabb variánsának elemzésekor nem kevesebb mint 49 különféle új modult lepleztek le. Így elmondható, hogy a Regin összességében már 75 különböző kiegészítővel bővíthető ki. Az új bővítmények között találhatók olyanok, amik bizalmas adatok továbbfejlesztett módszerekkel történő kiszivárogtatását, a fájlrendszer mélyreható vizsgálatát, a hálózat folyamatos monitorozását, elektronikus levelek olvasását és létrehozását, illetve rendszerinformációk összegyűjtését teszik lehetővé. Egyes modulok az alapvető funkcionalitásért, mások pedig a hálózatkezelésért vagy éppen a titkosított EVFS (Encrypted Virtual File System) fájlrendszer támogatásáért felelnek. 

A trójai bővítményei közötti kommunikációt RPC (Remote Procedure Call) mechanizmusok valósítják meg. Ezek segítségével a károkozó egyes összetevői távolról telepíthetők, vezérelhetők, felügyelhetők és frissíthetők.
Robosztus háttérrendszer

A Regin legújabb variánsa nem kizárólag a több tucatnyi kiegészítő révén hívta fel magára a figyelmet, hanem a mögötte meghúzódó hálózat és infrastruktúra által is. A Symantec kutatói ugyanis arra jöttek rá, hogy a trójai mögött minden korábbinál komplexebb működésű hálózat működik. Az ehhez kapcsolódó fertőzött rendszerek P2P alapon kommunikálnak, de szükség esetén VPN kapcsolatok is kiépíthetők, amik a kártékony hálózati adatforgalom feltárását jelentősen megnehezíthetik. Ráadásul a Regin több olyan modullal is rendelkezik, amelyek kifejezetten egy-egy hálózati protokoll támogatásáért felelnek. Így a trójai egyebek mellett képes ICMP, UDP, TCP, HTTP, SSL és SMB protokollok felhasználásával is kommunikálni. Azt, hogy éppen milyen csatornát választ, a támadók határozhatják meg annak megfelelően, hogy a megfertőzött infrastruktúrában melyik biztosítja a legkevésbé feltűnő adatcserét.

Védekezési lehetőségek

A Regin szofisztikált technikái miatt korántsem egyszerű az ellene folytatott védekezés. Természetesen a korszerű detektálási technológiákat alkalmazó víruskereső és egyéb biztonsági alkalmazások, eszközök sokat segíthetnek a kockázatok csökkentésében. Emellett a biztonságtudatos számítógép- és internethasználat is jelentősen hozzájárulhat a károk megelőzéséhez.