סימנטק חשפה נוזקת על שריגלה אחר ממשלות

חוקרי סימנטק (Symantec) גילו פיסת נוזקה מתוחכמת במיוחד, נוזקת על המכונה "Regin". נוזקת העל, שנראה שפותחה על ידי מדינה, נועדה לרגל אחרי ממשלות, מפעילי תשתיות, עסקים, חוקרים ואנשים – ופועלת לפחות מאז 2008. ייחודה הוא בפעילותה השקטה והסולידית, מה שמונע את האבחון, הניטור והחשיפה שלה. החוקרים ציינו שהיבט משמעותי בפעילותה הוא שרוב הקוד שלה מוסתר, מה שמקשה על גילוייה בזמן אמת.

על פי ענקית האבטחה, "Regin מציגה יכולת טכנית שנדיר לראות בשוק הנוזקות. ישנם סימנים לכך ש-Regin מהווה אחד הכלים העיקריים המשמשים ככלי ריגול קיברנטי על ידי מדינת לאום".

החוקרים זיהו את השימוש בנוזקה ב-10 מדינות – בעיקר ברוסיה (28% מהמקרים) ובערב הסעודית (24%), אך גם במכסיקו, אירלנד, הודו, אפגניסטן, איראן, בלגיה, אוסטריה ופקיסטן.

Regin היא סוס טרויאני עם "דלת אחורית", "בעלת מגוון רחב של יכולות והתאמה 'אישית', בהתאם ליעד", כתבו חוקרי סימנטק. "היא מגיעה עם הבקרים שלה, שלהם מסגרת עבודה רבת עוצמה למעקב המוני". הם מעריכים כי הפיתוח שלה ארך חודשים "אם לא שנים" והמפתחים שלה "השקיעו מאמצי פיתוח רבים בהסתרת העקבות שלה".

בגלגולה הראשון של הנוזקה נעשה בה שימוש כדי לרגל אחרי כמה ארגונים, בין השנים 2008-2011, כאשר "לפתע היא נעלמה בפתאומיות". בשנה שעברה הופיעה גרסה חדשה שלה.

עוד העלו אנשי קספרסקי כי כמעט מחצית מההדבקות של Regin זוהו במחשבים של אנשים פרטיים ובעסקים קטנים. זאת, לצד מתקפות על חברות טלקום, כנראה על מנת להשיג גישה לשיחות המנותבות דרך תשתית תקשורתית זו.

חוקרי ענקית האבטחה מציינים כי תוכנות זדוניות מהוות איום מרובה יעדים, כאשר ארבעה מחמשת שלבי הפעולה של הנוזקות הם מוצפנים, למעט השלב הראשון. מצב זה מקשה על זיהוי הנוזקות ופענוחן – ועל הבנת האיום הכולל.

Regin פועלת בגישה מודולרית, כך שתכונות הריגול מותאמות אישית למטרותיה. בכך הנוזקה פועלת על בסיס אותם מאפיינים של נוזקות-על מתקדמות אחרות, דוגמת Flame ו-Weevil. היבט הטעינה הרב-שלבית של התוכנה דומה לזה של דוקו (Duqu) ושל סטוקסנט (Stuxnet) – הנוזקה שחיבלה במתקני הגרעין באירן.

חוקרי ענקית האבטחה סיימו את הדו"ח שלהם בציון העובדה ש-"רכיבים רבים של נוזקת העל טרם נחשפו, ויש להניח כי היא קיימת בגרסאות נוספות, עם יכולות נזק אחרות – שעדיין לא התגלו".