网络间谍Regin从“后门”攻击多国
防病毒软件供应商赛门铁克24日宣布发现史上最复杂恶意木马软件“Regin”,对政府、商业机构、个人、研究人员、基础设施运营商等多种目标群体实施秘密网络监控。这一“后门”软件设计之精密、结构之复杂、行动之隐蔽,相当罕见,并称这种窃取国家和商业机密的软件可能由国家资助开发。一时间,美英多家媒体把矛头指向俄罗斯和中国,在没有证据的情况下,语焉不详地习惯性“生拉硬拽”。24日晚间,美国知名新闻网站“截击”报道,这一木马程序的开发可能与美英情报部门相关,研发这种木马的目的是用以攻击欧盟国家政府网络和比利时电信网络。
1
多级威胁
赛门铁克公司在官方博客中揭秘这一网络间谍工具的运行机制,把“Regin”的攻击界定为“多级别威胁”,包括5个环节,每个环节都采取隐藏和加密处理,用户很难察觉。
根据这家网络安全商的描述,只要开始运行“Regin”程序的第一环节,就如同推倒“多米诺”骨牌,随后的四个环节将依次启动运行。不过,单看每个环节都不足以分析出整个程序的攻击目标。只有掌握全部环节,才能分析程序的真正威胁。
为了让程序不惹人注意,“Regin”的开发人员显然费了一番脑筋。即便感染病毒的用户发现“Regin”的存在,也很难摸清它到底在做什么;即便作为专业网络安全提供商,赛门铁克公司现阶段也仅能借助破译样本文档分析“多级威胁”的最后环节,并不掌握这一程序的完整构成。
攻击者可以利用“Regin”抓取屏幕截图、控制鼠标点击功能、窃取用户密码、监控网络数据、恢复已删除文档。
赛门铁克公司说,“Regin”可能诱导攻击目标访问一些知名网站的“山寨版”或者经由网络浏览器自行安装植入。在一例感染报告中,“Regin”隐藏在雅虎的即时聊天工具“雅虎通”中。
2
攻击面广
赛门铁克公司说,“Regin”与“震网”(Stuxnet)病毒有类似之处,不过其复杂程度远超同类软件。开发这样的木马程序需要投入大量时间和资源,可能耗时数月乃至数年。
这家公司说,“Regin”2008年至2011年间首次在互联网“现身”,不少互联网用户“中招”。销声匿迹一段时间后,这一软件于2013年推出“新版本”。
博客介绍,“Regin”攻击范围广,涉及全球多个国家。其中28%的病毒感染出现在俄罗斯,24%出现在沙特阿拉伯。其他受感染国家包括墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、奥地利和巴基斯坦。美国迄今没有出现感染“Regin”的报告。
赛门铁克公司说,大约一半攻击出现在属于互联网服务提供商的网址中,不过“Regin”的目标应该不是这些互联网服务提供商,而是它们的用户。一些电信企业也成为受害者,“Regin”显然企图获取经由这些电信企业网线传送的用户通话信息。
3
恐涉“棱镜”
就在美英媒体猜忌他国时,“截击”网站援引行业消息源和技术分析结论说,“Regin”似乎曾经在美国“棱镜门”事件主角爱德华·斯诺登披露的文件中被提及,“Regin”可能是广泛监控项目的一部分。
赛门铁克公司24日说,开发这样的木马程序需要投入大量时间和资源,可能耗时数月乃至数年,有“国家背景”。
迄今为止,“Regin”被发现攻击的目标主要是互联网服务提供商、电信运营商等等,但专家分析认为,木马攻击的目标可能并不在于这些服务商,而是通过服务商,实施对用户的监控。通过这一木马,攻击者可以获取屏幕截屏,可以记录用户鼠标的位置移动和点击内容,可以窃取密码、获取浏览记录、甚至恢复已删除文件。
为了骗取用户信任,“Regin”还被植入一些伪装成知名软件的文件中,例如,有用户在非官方渠道下载了雅虎即时通信软件后感染了这一木马。
4
美国“缄默”
知名反病毒机构卡巴斯基实验室发布的报告说:“Regin是一个网络攻击平台,借助这个平台,攻击者可以从各个层面全面控制受害者网络。”
另外,“Regin”还攻击GSM电信网络,通过对蜂窝式通信协议的控制,实现对用户通话数据的收集和监控。
总部设在芬兰的F-Secure防病毒公司研究者安蒂·蒂卡宁评价“Regin”是所有流氓软件中最复杂的一个,“我们分析认为,这一软件,不是俄罗斯和中国制造。”
针对美英情报机构嫌疑最大的判断,法新社24日试图联系美国国家安全局讨个说法,但美国国安局一名发言人答复:“我们不置评基于猜测的内容。”(新华社供本报特稿)