Wie heeft de Regin-malware gemaakt?


Een paar weken geleden ontdekte beveiligingsverkoper Symantec een geavanceerd stukje malware waarvan wordt gezegd dat het sinds minstens 2008 wordt gebruikt om surveillance uit te voeren.

De Trojan, die door het bedrijf Regin wordt genoemd, is een ongewoon geavanceerd modulair platform dat de mogelijkheid heeft om op maat te worden gemaakt met verschillende mogelijkheden – inclusief GSM-netwerkbewaking – afhankelijk van het beoogde doel.

Een Symantec-blogpost zegt dat het is gebruikt om rond te snuffelen bij “overheidsorganisaties, infrastructuurbeheerders, bedrijven, onderzoekers en particulieren.”

De mogelijkheden van Regin, volgens Symantec, suggereren dat het is gemaakt door een natiestaat om anderen te snuffelen.

Dat leidt natuurlijk tot verschillende vragen rond het nieuw ontdekte Trojan, waaronder hoe het detectie zo lang heeft kunnen ontwijken, tegen wie het is gebruikt en, meest intrigerend, wie het heeft gemaakt?

Wat betreft hoe Regin al minstens zes jaar detectie heeft kunnen ontwijken, is het antwoord verrassend eenvoudig – hoewel veel lezers denken dat elk stukje malware in het wild een complexe massa code is, is de waarheid, de meeste kwaadaardige software is opmerkelijk eenvoudig in ontwerp en gemakkelijk gedetecteerd. In het geval van Regin is het tegenovergestelde waar – de Trojan is een complex stuk werk dat specifiek is ontworpen om detectie te ontwijken. Symantec merkte zelfs op dat het na detectie erg moeilijk is om te bepalen wat de malware aan het doen is, waardoor het een ideale kandidaat is voor langdurige bewakingstaken.

De tweede vraag, namelijk tegen wie Regin is gebruikt, is veel moeilijker te beantwoorden. Het heimelijke karakter, plus de waarschijnlijke onwil van doelen om toe te geven dat ze er het slachtoffer van zijn geworden, betekenen dat het onmogelijk is om definitieve gegevens te verkrijgen. Dat gezegd hebbende, concludeerde Symantec dat bijna de helft (48%) van de slachtoffers die het heeft gezien, privépersonen of kleine bedrijven waren. Nog eens 28% van de doelen lag in de telecomsector, terwijl andere doelen in de onderzoeks-, horeca-, energie- en luchtvaartindustrie lagen.

Een uitsplitsing van de infecties per land biedt weinig hulp bij het identificeren van de waarschijnlijke bron van Regin zoals deze in veel landen is ontdekt. Primaire doelen, gebaseerd op huidige Symantec-gegevens, lijken de Russische Federatie (28%) en Saoedi-Arabië (24%) te zijn, hoewel ook andere landen zoals Ierland, Mexico, België en Oostenrijk zijn getroffen.

Met nog weinig meer te doen, is het antwoord op wie Regin heeft gemaakt moeilijk te vinden en er wordt veel gespeculeerd.

Symantec slaagt er heel verstandig niet in vingers in een bepaalde richting te wijzen, behalve dat “het niveau van de middelen achter Regin aangeeft dat het een van de belangrijkste cyberespionage-instrumenten is die door een natiestaat wordt gebruikt.”

Evenzo is de Russische verkoper Kaspersky Lab even terughoudend om schuldige vingers in een bepaalde richting te wijzen. In zijn eigen artikel van Regin moddert het water zelfs nog verder door extra getroffen landen, waaronder Duitsland en Brazilië, te benadrukken, terwijl het ook aangeeft hoe kleinere landen zoals Fiji en Kiribati het doelwit lijken te zijn.

Het bedrijf, dat suggereert dat Regin mogelijk al sinds 2003 bestaat, heeft tijdstempels voor de ontwikkeling van de malware gepubliceerd die suggereren dat de meeste activiteit beperkt was tot de periode van 10.00 tot 21.00 uur (GMT). Hoewel dit, samen met Brits klinkende bestandsnamen voor de verschillende modules (WILLISCHECK, LEGSPIN, HOPSCOTCH EN U-STARBUCKS) redelijkerwijs kan worden geïnterpreteerd als betekenend dat ontwikkeling plaatsvond in het VK of een ander Europees land, wijst Kaspersky er terecht op dat dergelijke namen en tijdstempels kunnen vrij gemakkelijk betekenen “een opzettelijke valse vlag of een niet-kritieke indicator achtergelaten door de ontwikkelaars.”

Wat we dus overblijven is een puzzel die misschien nooit zal worden opgelost. Spionage is een serieuze zaak en geen enkele dader wil ooit betrapt worden. Daarom zou het geen verrassing zijn om te horen dat wie Regin heeft gemaakt, aanwijzingen achterlaat in de code en ontwikkelingstijdstempels die naar de verkeerde plek leiden.

Wat wel zeker is, is het feit dat Regin nog een ander hulpmiddel is dat is ontworpen om niet alleen over regeringen en grote bedrijven te snuffelen, maar ook over kleinere bedrijven en particulieren. Dus, ongeacht wie het heeft gemaakt, we vinden het hier bij ExpressVPN niet leuk: wij geloven dat individuen het recht hebben op persoonlijke vrijheid en privacy – daarom bieden wij u, onze gebruikers, een eenvoudige en gemakkelijk te gebruiken service om precies dat te bereiken.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map