安全公司赛门铁克(Symantec)对雷金(Regin)这个后门木马进行了六年的间谍活动,在全球范围内监视个人通信,并有条不紊地隐瞒其存在的证据。
由于Regin的复杂性,赛门铁克得出结论,恶意软件是通过一个民族国家的大量资金创建的。Regin花了几个月甚至几年的时间来构建,这使得赛门铁克相信恶意软件是一个国家网络间谍活动的主要工具之一。
“这绝对是一款专业编写的软件。”说赛门铁克安全响应部门的高级分析师奥拉·考克斯说。“你必须有充足的资金和资源来创建和维护它,这可能只有一个民族国家才能负担得起。”
雷金感染主要集中在阿富汗、奥地利、比利时、爱尔兰、印度、伊朗、墨西哥、巴基斯坦、俄罗斯和沙特阿拉伯。大约28%的感染集中在俄罗斯,大约24%的感染集中在沙特阿拉伯。
虽然安全专家很快就列出了一份嫌疑人名单,但其他复杂的网络间谍工具却一直在使用发现,科技行业万博体育登录首页对雷金的出身相对沉默。
大约48%的Regin攻击针对的是小企业和个人。大约28%的Regin攻击是针对电信公司的,赛门铁克表示,这可能是为了找到更多关于已经被攻击的人和企业的信息。
据了解,只有大约100家小型企业和个人成为Regin攻击的受害者,但恶意软件的复杂性和隐蔽性表明,受害者的真实数量可能要高得多。
“Regin的开发人员付出了相当大的努力,让它变得非常不显眼。”州赛门铁克在博客上说。“它的低调性质意味着它可能被用于持续数年的间谍活动。即使检测到它的存在,也很难确定它在做什么。”
2008年至2011年间,Regin的证据曾被发现过几次,但该恶意软件已被撤回。直到2013年才再次出现,此时恶意软件已经进化。
Regin采用模块化的方法来感染其目标,当检测到恶意软件时,只暴露谜题。恶意软件通过引诱目标同意使用被Regin的模块感染的软件开始感染,Regin的模块是恶意软件中唯一未加密的部分。
Regin的后续模块按预期推出,允许恶意软件背后的组织将其攻击扩展到必要的程度,以收集每个目标的信息。该恶意软件的五个模块中,每个模块都没有提供完整软件包的详细信息,但赛门铁克在审查了该工具包的每个功能后,能够绘制出Regin的草图。