Tal Pavel

Regin – הסטאקסנט החדש ?

/ב /על ידי

חברת Symantec פרסמה מחקר חדש בדבר גילוי רוגלה מתוחכמת חדשה בשם Regin אשר נעשה בה שימוש למבצעי ריגול שיטתיים נגד מטרות בינלאומיות מאז 2008. לטענת המחקר זהו סוס טרויאני המהווה נוזקה מורכבת המעידה על רמת מורכבות טכנית נדירה למדי, הואיל ובין השאר היא מאפשרת לשולטים בה טווח רחב של יכולות התלויות במטרה, בדגש על יצירת מסגרת רבת עוצמה של מעקב לשם מבצעי ריגול נגד גופי ממשל, גורמי תשתית, עסקים, חוקרים וגורמים פרטיים.

ככל הנראה פיתוח התוכנה, הבנויה במבנה של חמישה שלבים פנימיים, ארך חודשים, אם לא שנים, תוך פעילות מורכבת לשם טשטוש העקבות. זאת לצד היכולות ורמת המשאבים העומדים מאחוריה-Regin המצביעים על כך שזהו אחד מכלי הריגול הקיברנטיים המצויים בשימושה של מדינה.

fig1-architecture

מורכבות של התוכנה היא כזו שלא ניתן ללמוד משלב אחד בה על יתר השלבים ורכיביה, כמו גם היותה מודולרית, דבר המאפשר לעדכן את יכולותיה בהתאם למטרה שנבחרה. שיטה מודולרית זו זוהתה בעבר בנוזקות דוגמת Flamer ו-Weevil בעוד שהארכיטקטורה מרובת השלבים דומה לנוזקות שנראו בעבר דוגמת Duqu ו-Stuxnet. ההדבקה אף היא משתנה בהתאם ליעד.

נוזקה זו אותרה בין השנים 2008 ו-2011 בקרב מגוון רחב של ארגונים, ולאחר מכן היא בוטלה בפתאומיות. גרסה  חדשה של התוכנה אותרה משנת 2013 ואילך.

בעת בחינת יעדי התקיפה של רוגלה זו ניתן לראות כי אלו רבים ומגוונים וכי מחציתם גורמים פרטיים וכן עסקים קטנים ולאחר מכן ספקיות תקשורת, לטענת המחקר על מנת להשיג גישה לשיחות המנותבות דרך תשתיות אלו;

fig2-sectors

בנוסף, גם התפוצה הגאוגרפית של רוגלה זו מגוונת; מחצית מיעדי התוכנה היו ברוסיה (28%) וערב הסעודית (24%), בעוד היתר היו בשמונה מדינות מרחבי העולם;

fig3-countries

המחקר גורס כי יתכן וחלק מהמטרות פותו להכנס לגרסאות מזוייפות של אתרים פופולריים וכי התוכנה הותקנה באמצעות הדפדפן או באמצעות ניצול אפליקציה. באחד מהמקרים גילה קובץ הרישום כי ה-Regin הגיע מתוכנת המסרים המידיים של Yahoo.

יכולות האיום הבסיסיות של רוגלה זו כוללות מספר מאפיינים של שליטה מרוחקת (RAT) דוגמת צילום מסך, שליטה על תפקוד העכבר, גנבת סיסמאות, ניטור פעילות התקשורת ושחזור קבצים שנמחקו. מודולים מורכבים יותר כוללים ניתור תעבורת Microsoft IIS web server וכן האזנה (Sniffer) לבקרי תחנות בסיס של טלפונים ניידים.

מפתחי הרוגלה שמו דגש רב על הסוואתה, דבר אשר משמעו יכולת להיות בשימוש מבצעי ריגול במשך שנים. גם אם נוכחות הרוגלה התגלתה, קשה מאוד לקבוע מה היא פעילותה. בנוסף כוללת הרוגלה מספר יכולות מוסוות ובכלל זה נגד פעולות פורנזיות, מספר סוגים מובנים של הצפנות וכן מספר יכולות מתוחכמות של תקשורת חשאית עם הגורם התוקף.

לסיכום, Regin מהווה איום בעל מורכבות גבוהה בו נעשה שימוש במסעות ריגול או איסוף מידע שיטתיים. הפיתוח והתפעול דרש השקעה משמעותית של זמן ומשאבים, דבר המצביע על כך שמדינה היא האחראית לכך. בנוסף, עיצוב התוכנה הופך אותה למתאימה למבצעי מעקב מתמשכים וארוכי טווח נגד מטרותיה. עוד טוענת Symantec כי היא מאמינה שרכיבים רבים של Regin עדיין לא התגלו, כמו גם יכולות וגרסאות נוספות שלה.