惡意程式 Regin 和 NSA 與其同盟有直接關連

作者 | 發布日期 2015 年 02 月 02 日 12:59 | 分類 資訊安全 follow us in feedly
Screenshot Regin Trojaner Kaspersky NSA GCHQ

先前科技新報曾報導美國 NSA 不只監聽,而且準備打網路戰。如今又有勁爆的消息,先前侵入歐盟的惡意程式 Regin 證實與 NSA 和其同盟有關連。根據德國媒體 SPIEGEL 最新報導,先前公佈的 keylogger QWERTY 原始碼,與 Regin 的模組原始碼高度雷同。NSA 會跟同盟分享彼此使用的工具。




卡巴斯基的資安專家比對史諾登先前公佈的 keylogger QWERTY 原始碼,與手上的惡意程式 Regin 的程式碼相比,發現 QWERTY 與 Regin 的 50251 模組相仿,因此功能也類似。

regin3_2

▲ Regin 與 QWERTY 程式碼高度雷同

資安專家發現 QWERTY 需要呼叫 Regin 的模組 50225,執行與 Kernal-mode Hooking 功能。QWERTY 這部分的程式碼,20123 模組跟 Regin 50251 高度相像。因此可以說 QWERTY keylogger 無法單獨作用,必須要有其他模組共同作用才行。如果不能斷言 QWERTY 是 Regin 的一部分,至少是 NSA 與其同盟之間分享的程式碼,拿來當監視工具。另外程式碼中有大量提到板球字樣,顯示 Regin 的開發應該跟講英式英語的國家有淵源。

英國 GCHQ 曾侵入比利時電信的網路,想獲得關於歐盟的情報。去年 11 月時終於知道是用複雜的惡意程式 Regin,侵入比利時電信。Regin 顯然背後有國家力量撐腰,侵入歐盟網路後並不急著發揮作用,而是著重在情報目的。除了歐盟,目前還知道俄羅斯、沙烏地阿拉伯也曾遭 Regin 入侵。

(首圖來源:Spiegel)

發表迴響