image

Belgische professor was slachtoffer van Regin-malware

maandag 24 november 2014, 16:54 door Redactie, 0 reacties

De geavanceerde spionagetool "Regin" die deze ochtend door Symantec werd onthuld heeft onder andere de Belgische professor Jean-Jacques Quisquater geïnfecteerd, zo stelt anti-virusbedrijf Kaspersky Lab. Quisquater raakte besmet toen hij op een link in een nagemaakte LinkedIn-uitnodiging klikte.

Toen de professor begin dit jaar de aanval bekendmaakte was onbekend om welke malware het ging, maar volgens de Russische virusbestrijder was Quisquater het slachtoffer van Regin. Dat blijkt uit exemplaren die het anti-virusbedrijf van zijn computer wist veilig te stellen. Ook Kaspersky Lab weet niet hoe Regin zich precies verspreidt. Wel ontdekte de virusbestrijder exemplaren die al in 2003 zouden zijn gemaakt.

Kaspersky is het met Symantec eens dat het om zeer geavanceerde malware gaat. Ondanks de complexiteit van de malware maakten de auteurs een aantal "foutjes", waardoor de namen van de verschillende spionagemodules konden worden achterhaald, zoals legspin, willischeck, hopscotch en u_starbucks. Ook werd het woord "shit" in veel modules en delen van de code teruggevonden. De naam "Regin" is afkomstig van "In Reg", wat weer staat voor "In Registry". De malware kan de modules die het gebruikt namelijk in het Windows Register opslaan.

Gsm-netwerk

Een infectie bij een groot gsm-netwerk is volgens Kaspersky Lab het meest interessante aspect aan Regin. De aanvallers bleken informatie over een basisstationscontroller voor mobiele telefoons te verzamelen. In de gegevens die Regin had verzameld werden onder andere gebruikersnamen en wachtwoorden van engineers aangetroffen. Een ander detail van de spionagetool is de gebruikte communicatiemethode. In aangevallen netwerken gebruiken de aanvallers "communicatiedrones", waarbij de meeste besmette machines alleen met machines binnen hun eigen netwerk communiceren.

Bij een niet nader genoemd land in het Midden-Oosten werd zelfs een zeer bijzonder geval ontdekt, waarbij alle slachtoffers met elkaar een peer-to-peer (P2P)-netwerk vormden. Het P2P-netwerk bestond uit het presidentiële kantoor, een onderzoekscentrum, een onderwijsnetwerk en een bank. In totaal telde Kaspersky Lab 27 slachtoffers van de malware in 14 verschillende landen, waaronder België en Duitsland.

Hierbij wordt wel opgemerkt dat een compleet besmet netwerk als één slachtoffer wordt geteld. Het totale aantal besmette pc's ligt dan ook veel hoger. Wat betreft de maker stelt het Russische anti-virusbedrijf dat de malware zeer waarschijnlijk door een staat is ontwikkeld. Eerder liet het Finse F-Secure al weten dat de malware zeer waarschijnlijk niet uit China of Rusland afkomstig is.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.