惡意程式 Regin 和 NSA 與其同盟有直接關連

作者 | 發布日期 2015 年 02 月 02 日 12:59 | 分類 資訊安全
Screenshot Regin Trojaner Kaspersky NSA GCHQ

先前科技新報曾報導美國 NSA 不只監聽,而且準備打網路戰。如今又有勁爆的消息,先前侵入歐盟的惡意程式 Regin 證實與 NSA 和其同盟有關連。根據德國媒體 SPIEGEL 最新報導,先前公佈的 keylogger QWERTY 原始碼,與 Regin 的模組原始碼高度雷同。NSA 會跟同盟分享彼此使用的工具。




卡巴斯基的資安專家比對史諾登先前公佈的 keylogger QWERTY 原始碼,與手上的惡意程式 Regin 的程式碼相比,發現 QWERTY 與 Regin 的 50251 模組相仿,因此功能也類似。

regin3_2

▲ Regin 與 QWERTY 程式碼高度雷同

資安專家發現 QWERTY 需要呼叫 Regin 的模組 50225,執行與 Kernal-mode Hooking 功能。QWERTY 這部分的程式碼,20123 模組跟 Regin 50251 高度相像。因此可以說 QWERTY keylogger 無法單獨作用,必須要有其他模組共同作用才行。如果不能斷言 QWERTY 是 Regin 的一部分,至少是 NSA 與其同盟之間分享的程式碼,拿來當監視工具。另外程式碼中有大量提到板球字樣,顯示 Regin 的開發應該跟講英式英語的國家有淵源。

英國 GCHQ 曾侵入比利時電信的網路,想獲得關於歐盟的情報。去年 11 月時終於知道是用複雜的惡意程式 Regin,侵入比利時電信。Regin 顯然背後有國家力量撐腰,侵入歐盟網路後並不急著發揮作用,而是著重在情報目的。除了歐盟,目前還知道俄羅斯、沙烏地阿拉伯也曾遭 Regin 入侵。

(首圖來源:Spiegel)

發表迴響