没有人确切知道谁创造了雷金,高度复杂的恶意软件安全研究人员相信建于监视政府实体,电信网络、私人公司和个人用户。
赛门铁克安全研究人员在发表第一雷金报告,一个非常复杂和强大的恶意软件架构,进行质量监测自2008年以来,世界各地的可能。
雷金于2011年成为已知的第一个实例,当欧盟委员会发现它的许多系统以及欧洲理事会的零日漏洞被攻击。两年后,另一个先进的攻击partly-state宣布拥有比利时Belgacom移动网络,黑客偷了系统管理员的密码访问移动网络的路由器。不久之后,著名的比利时译码者让-雅克•Quisquater成为第三攻击的受害者。
现在,所有三个袭击雷金有关。虽然没有人可以告诉谁写的雷金和如何发射攻击,赛门铁克已映射攻击发生的地方。俄罗斯、沙特阿拉伯、墨西哥和爱尔兰似乎感染最多,而个人和小企业似乎大部分的受害者。然而,一些额外的卡巴斯基实验室的研究显示雷金也能够针对GSM基站的蜂窝网络。
这正是发生在2008年的一次劫持的电信公司在中东,在攻击者使用雷金窃取网络的系统管理员的凭证。卡巴斯基不会提到袭击发生在哪个国家,但伊朗、叙利亚和巴基斯坦是唯一三个中东国家发现感染雷金。阿富汗,属于南亚和也经常错误的是中东的一部分,也被感染了。
关于Belgacom和Quisquater袭击的新闻报道指出美国国家安全局(NSA)和英国政府通信总部(GCHQ)的罪魁祸首。
文档也揭示了前国家安全局承包商爱德华·斯诺登了两个美国政府行动代号为“神秘”和SOMALGET,针对移动网络在一些国家收集调用信息在这些网络和拦截电话的录音。电信公司在墨西哥,肯尼亚和菲律宾被认为已经被攻击者获取元数据的调用,在巴哈马群岛和阿富汗黑客窃听私人电话。
额外的文件显示美国国家安全局欧盟委员会也计划目标。该文件的日期是2010年,前一年委员会受到袭击。然而,安全公司尚未建立任何雷金和作者之间的直接连接。
欣赏安全公司提出的问题的严重程度,一个人必须理解它是如何工作的,尽管安全研究人员承认仍有许多发现的恶意软件。这不仅仅是一个恶意软件感染系统。雷金都是一个完整的“复杂架构”的恶意软件有多个不同元素需要拼凑,让研究人员很难完全弄明白它是如何工作的,除非他们一起的所有元素。
“雷金网络相当于秘密侦察专家团队,“说佩德罗法典,伪特别项目主任。“它高度适应性的分析显示,改变其方法根据目标的攻击。”
赛门铁克在博客中描述雷金多级,模块化的威胁。研究人员尚未发现恶意软件是如何渗透一个系统,但一个实例表明攻击者发起了雷金使用雅虎信使的零日攻击漏洞。不过,专家们认为这不是雷金可以输入机器的唯一途径。Belgacom攻击,例如,使用重定向一个流氓服务器系统管理员一个网站,感染他们的系统的恶意软件。
一旦这款系统,雷金发现本身在五个阶段,第一阶段,backdoor-type木马,是唯一未加密的阶段。执行特洛伊打开赛门铁克称之为domino解密链,让前三个阶段配置架构和最后两个执行有效载荷,根据不同的被攻击。
雷金可以做很多事情,这取决于是什么需要完成的。它可以盗取密码,读邮件,捕捉截图,接管鼠标,监控网络流量和检索文件删除。卡巴斯基的全球研究和分析团队损失Raiu说这都是由导体,整个平台的“大脑”。
说:“就像一跨入凯文•哈雷主任赛门铁克安全响应。“基础然后您可以添加各种附件,做不同的事情,从磨肉香肠制作面食。”
雷金也有复杂的隐形功能保持在雷达下。恶意软件把数据扩展属性,它存储了关于文件的元数据,包括数据关于何时何地某种可疑的文件已经被下载。因为扩展属性对它存储的文件有大小限制,雷金将数据划分为单独的块和收集他们在需要的时候。
它甚至与攻击者通过使用复杂的形式的沟通交流与其他机器在同一个网络使用单一节点,将其命令服务器通信。这种方式,它限制离开网络的流量,防止怀疑是恶意的。
雷金的复杂性是导致安全研究人员相信,这不仅仅是工作的一群黑客想要一块钱。他们相信雷金花了几个月,如果不是几年“开发和高度先进的恶意软件的操作需要大量资源维护。不幸的是,他们还没有找到线索,民族国家雷金后面。哈利指出代码是用英文写的,但指出,“许多国家使用英语。”However, as news of the malware spreads, it is likely that more reports about previous attacks will surface to provide researchers more information that will help them find who the culprit is.