Eén van de meest geavanceerde creaties van malware ooit, is ontdekt door experts van een beveiligingsbedrijf. Het is Regin genoemd, het is bekend dat het de afgelopen zes jaar heeft gespioneerd op telecombedrijven, overheden, bedrijven, individuen, en het lijkt er op dat het gebruikt word door de Britste veiligheidsdiensten.Beveiligingsbedrijf Symantec kondigde het bestaan van Regin gister aan, en ze vermeldden er bij dat het een "baanbrekend en exceptioneel" stuk malware is, "waarvan de structuur een mate van technische bekwaamheid heeft die zelden gezien is."
De architectuur is het belangrijkste aspect van Regin; elk niveau van de malware is stiekem opgeslagen in het niveau dat er aan vooraf ging. Deze niveau's ontvouwen bit per bit, met vijf niveaus in totaal, tot de belager alles kan monitoren van de belaagde computer.
Symantec trok de vergelijking met een ander beroemd stuk malware, Stuxnet, dat ook een architectuur had met meerdere niveaus. De directeur van Global Research en het analyseteam van beveiligingsbedrijf Kaspersky lab, Costin Raiu, vond de vergelijking terecht. "Het is een goede analogie," zei hij. Maar er zijn echter ook enkele verschillen, wees hij uit. Kaspersky heeft zich ook verdiept in Regin, blijkt uit een blogpost, en na de publicatie van Symantec kwam hij ook nog met wat extra inzichten.
Stuxnet was ontworpen om te infiltreren en uiteindelijk het Iraanse nucleaire programma plat te leggen of in ieder geval te vertragen. Om dit te kunnen doen, had het de mogelijkheid gekregen om zichzelf te kopiëren, zelfstandig van de ene computer naar de andere te verplaatsen en USB sticks te infecteren om vervolgens naar de beoogde installatie te komen. Vanuit daar zou Stuxnet de centrifuges, cruciaal voor het atoomprogramma, overnemen.
Regin doet dat soort dingen niet. De malware werkt anders. Regin voert alle taken zo stil mogelijk uit: het verleent zichzelf toegang tot computers om ze te monitoren, zonder deuren hardhandig in te trappen. "De focus van Regin ligt op spioneren, terwijl Stuxnet gecreëerd was met sabotage als doel," legde Raiu uit.Wat het kan als het eenmaal een systeem geïnfiltreerd heeft word je ook niet vrolijk van. Regin kan onder andere spioneren op netwerkverkeer, wachtwoorden achterhalen, verwijderde bestanden terughalen en screenshots maken. Symantec stelt in de publicatie dat de mogelijkheden van Regin per doelwit afgestemd kunnen worden om zijn flexibiliteit en kracht ten volste te benutten.
Er is één specifiek ding dat Regin van andere malware onderscheidt: zijn mogelijkheid om dataverkeer in GSM-basisstations te infiltreren en daar specifieke doelwitten te monitoren.GSM, ook wel Global System for Mobile Communications, is de standaard protocolset die gebruikt wordt door telefoons. Een basisstation is eigenlijk gewoon een krachtige computer die meerdere telecommunicatietorens tegelijk beheert.
"Toegang krijgen tot deze computer geeft de aanvallers de mogelijkheid om de torens te controleren," vertelde Raiu. Vanaf dat punt is het mogelijk om meerdere soorten aanvallen te lanceren op mobiele telefoons en telefoon- en berichtverkeer te onderscheppen.
Omdat Regin basisstations kan infiltreren en het dataverkeer kan monitoren, lijkt het erop dat de ontwikkelaars een speciale interesse hebben in telecommunicatie. Dat is ook te zien in wie Regin als doelwit heeft gehad. Volgens Symantec bestaat 28 procent van de slachtoffers uit telecombedrijven, Regins aanvalstechnieken zijn "ontworpen om toegang te krijgen tot telefoongesprekken die via hun infrastructuur geleid worden." Een apart onderzoek, uitgevoerd door Kaspersky, toonde aan dat Regin in 2008 al gebruikt was om een GSM-netwerk in het Midden-Oosten aan te vallen.
Door het vermogen van Regin om zich aan te passen, is het ook gebruikt tegen energiemaatschappijen, luchtvaartmaatschappijen, onderzoekers en ziekenhuizen. De populairste doelwitten, waar 47 procent van de aanvallen op gericht waren, zijn echter kleine ondernemingen of onafhankelijke individuen.
De meeste aanvallen waren volgens Symantacs analyse in Rusland en Saoedi-Arabië uitgevoerd, al zijn er ook aanwijzingen gevonden dat er doelwitten in Mexico, India, Ierland en Afghanistan zijn aangevallen.Eén van de individuen die slachtoffer is geworden van het stuk programmatuur is Jean-Jacque Quisquater, een Belgische cryptograaf. In 2013 werd uit Snowdens documenten bekend dat Quisquater, die werkt voor het Belgische telecom staatsbedrijf Belgacom, gehackt was door GCHQ, de Engelse versie van de NSA. Het was echter niet duidelijk hoe ze aanvielen.Maar nu blijkt uit bronnen waarmee The Intercept gesproken heeft, dat Regin ontdekt werd bij een intern onderzoek in de poging van de GCHQ om Belgacom te hacken.
"Na het analyseren van de malware en het lekken van de documenten van Snowden, ben ik er van overtuigd dat Regin gebruikt word door Amerikaanse en Britse veiligheidsdiensten," zegt Ronald Prins, een beveiligingsexpert die ingehuurd werd om het onderzoek uit te voeren zei hij tegen The Intercept.
Net zoals Symantec, wilde Raiu niet speculeren over de mogelijke makers van Regin. Er zijn echter wel bepaalde artefacten die de beschuldiging richting GCHQ sterker kunnen maken.Enkele van de interne codenamen van de modules van Regin die de verdenking kracht bij zetten zijn LEGSPINv2.6, WILLISCHECKv2.0 en HOPSCOTCH. "Leg spin" is een crickettactiek, en Willis is een beroemde cricket speler, met de Willis Check als één van zijn geroemde moves, volgens Raiu. Nog een woord gevonden in de code van Regin is "U_STARBUCKS".
Tijdstempels die nog in Regin te vinden waren, kunnen een hint geven over waar de ontwikkelaars hun basis zouden kunnen hebben, blijkt uit Kaspersky's onderzoek.
"Ongeveer 100 verschillende Regin-modules," vertelde Raiu, "lijken er op te wijzen dat de aanvallers tussen tien uur 's ochtends en 9 uur 's avonds werkten." Maar onthoud, dat is alleen "als we de tijdstempels kunnen vertrouwen, ze zouden net zo goed kunnen zijn vervalst," voegde Raiu toe. Het bestaan van Regin zegt wel iets volgens Raiu, hij denkt dat het ons er nogal hardhandig op wijst hoe weinig we nou eigenlijk weten over de top van overheidsmalware. "Bepaalde aanwijzingen zeggen ons dat het al sinds 2006 rondwaart, misschien wel sinds 2003. Naar mijn mening betekent dit dat er veel geheimen verborgen liggen daarbuiten, waar heel weinig mensen van weten."
Advertentie
"Ongeveer 100 verschillende Regin-modules," vertelde Raiu, "lijken er op te wijzen dat de aanvallers tussen tien uur 's ochtends en 9 uur 's avonds werkten." Maar onthoud, dat is alleen "als we de tijdstempels kunnen vertrouwen, ze zouden net zo goed kunnen zijn vervalst," voegde Raiu toe. Het bestaan van Regin zegt wel iets volgens Raiu, hij denkt dat het ons er nogal hardhandig op wijst hoe weinig we nou eigenlijk weten over de top van overheidsmalware. "Bepaalde aanwijzingen zeggen ons dat het al sinds 2006 rondwaart, misschien wel sinds 2003. Naar mijn mening betekent dit dat er veel geheimen verborgen liggen daarbuiten, waar heel weinig mensen van weten."