恶意程式常常被坏人用以取得被害人的财务相关个资,尤其是信用卡。但如果这支恶意程式对个人金融资料没兴趣,并且潜伏多年,背后恐怕不单纯。结构复杂的情报收集工具 Regin 就是这样的例子,结构复杂而且是模组构成,每个模组技术都是顶尖的,还被赛门铁克的报告称赞,具有石破天惊的成就。
根据 Intercept 的报导并且引述业界人士说法,目前 Regin 最重大的案例大概是侵入欧盟机构,英国的情报单位 GCHQ 入侵有多个欧盟机构的比利时,骇入比利时国营电信公司,获取其客户欧盟机构的情报。一旦潜入电信网络,就会依任务需求开始布署其他的监视工具,特别是高价值目标。由于 Regin 并不急于发挥作用,并且还善于隐藏踪迹,像是伪装成微软的软件,多项迹象显示,背后有国家力量的支持。
▲ Regin 透过不同的节点逃避追踪。(来源:卡巴斯基)
目前多家防毒公司,像是赛门铁克、卡巴斯基和 F-Secure 都发布报告谈 Regin 的布署方式和六个不同时期的手法。除了第一阶段以外,其他阶段载入的模组都是加密过的。
▲ Regin 入侵的不同阶段。(来源:赛门铁克)
Regin 结构复杂,类似侵入伊朗核子设施的蠕虫 Stuxnet,潜伏一阵子后再依需求行动。一般的木马功能像是屏幕抓图,控制鼠标的移动等功能以外,Regin 还可以依据目标调整不同功能,像是载入电力和电信设施的监控模组,或者是监视邮件通讯。
Regin 并不只是一支恶意程式,而是一整套的平台,多半在内部系统和电子邮件系统出没。根据其特征分析过往的案例,应该己经布署十多年了,至少 2003 年就出现了。
▲ Regin 侵入的国家百分比。(来源:赛门铁克)
去年史诺登泄漏的档案就有提到入侵欧盟和比利时电信商的事,只是并未指出是用什么工具,现在我们知道用什么工具入侵了!2010 年,针对比利时电信的行动“Operation Socialist”中,GCHQ 锁定比利时电信的工程师,透过假造的 Linkedin 页面入侵。而比利时电信的客户有欧盟执委会(European Commission)、欧洲议会(European Parliament)、欧盟理事会(European Council)。透过入侵比利时电信截取这三个机关的情报。
目前遭 Regin 入侵的机构除了电信公司以外,还有政府机关、国际组织、财务或是研究机关,以及专长在进阶数学或是密码学的个人。国别则有俄罗斯、沙特阿拉伯加起来占了一半的比例,其他还有伊朗等 12 个国家。
NSA 和关系密切的英国情报单位 GCHQ 监视友邦并不意外,先前美国 NSA 监视德国总理梅克尔的手机通讯内容。这次 Regin 的案例曝光,让我们知道情报单位是如何透过入侵电信网获得情报。
首图来源:卡巴斯基
相关连结
- Regin: Nation-state ownage of GSM networks
- Regin: Top-tier espionage tool enables stealthy surveillance
- The Regin Espionage Toolkit
- Secret Malware in European Union Attack Linked to U.S. and British Intelligence
- Highly-complex malware has secretly spied on computers for years, say researchers
