Koja država stoji iza tajnog malwarea Regin?

I dok je njegovo podrijetlo nejasno, popis zemalja u kojima operira ovaj malware uključuje Rusiju, Saudijsku Arabiju, Irsku, Austriju, Belgiju....

Istraživanje je objavio isti tim stručnjaka u Symantecu koji je prije četiri godine pomogao otkriti Stuxnet, prvo digitalno oružje na svijetu. Za ovo "digitalno oružje" vjeruje se da su ga zajedno napravili stručnjaci SAD-a i Izraela kako bi sabotirati iranski nuklearni istraživački program.

Tim je ovaj novi špijunski alat nazvao Trojan "Regin", kako stoji u Symantecovom postu objavljenom na njihovom službenom blogu. Opisuju ga kao "kompleksni komad malwarea čija struktura pokazuje rijetko viđen stupanj tehničke stručnosti."

Kažu da ovaj alat ima "veliki raspon mogućnosti" koji omogućava ljudima koji ga kontroliraju "moćni okvir za masovni nadzor".

Stručnjaci kažu da se čini da je "Regin" korišten za špijunsku operaciju koja je počela 2008. godine, iznenada je zaustavljena 2011. godine, a zatim je nastavljena 2013.

Špijunirane su vladine organizacije, kompanije, znanstvenici i privatne osobe. Dosada je otkriveno oko 100 infekcija Reginom, a većina, odnosno oko 52 posto, u Rusiji i Saudijskoj Arabiji. Ostatak je otkriven u Meksiku, Irskoj, Indiji, Afganistanu, Iranu, Belgiji, Austriji i Pakistanu. Zasada infekcije nisu otkrivene u SAD-u i Kini.

"Kvaliteta Reginova dizajna i ulaganja koja su potrebna za izradu su takvi da je ovo gotovo sigurno napravila neka država, rekao je Liam O'Murchu, jedan od istraživača u Symantecovom timu.

No, pitanje koja bi to država mogla biti, O'Murchu je odbio odgovoriti.

"Najbolji tragovi koje imamo su gdje je došlo do infekcije, a gdje nije," rekao je on u intervjuu za Re/Code. "Znamo da je riječ o vladi koja je tehnološki vrlo napredna... Ovo je najveća špijunska operacija koja datira unatrag barem do 2008. godine, a možda čak i već od 2006."

Ne treba puno mućkati glavom da bi se odmah izrazila sumnja u to da je malware djelo američke Nacionalne sigurnosne agencije - NSA ili Središnje obavještajne agencije - CIA, koji su možda surađivali s Izraelom, posebice ako se uzme u obzir koje su sve države bile meta. Međutim, postoje i drugi mogući izvori, primjerice Kina.

Postoji još puno nepoznanica oko Regina, međutim zasada je poznato da napada računala koje pokreće operativni sustav Microsoft Windows. (Više tehničkih detalja možete saznati ovdje). Također je poznato da napada u fazama te da zahtjeva pet dijelova. Samo se prva faza može detektirati - to otvara vrata za sljedeće faze, od kojih svaka dekriptira i izvršava sljedeću fazu. Na taj način sličan je Stuxnetu i trojancu Duqu koji su dizajnirani s ciljem da kradu ogromne količine podataka.

Gotovo polovica svih Regin infekcija dogodila se na ISP-ove, odnosno tvrke koje pružaju internet usluge, a ciljevi su bili korisnici tih tvrtki. Ostale tvrtke koje su napadnute se telekomunikacijske, ugostiteljske, energetske i zrakoplovne tvrtke te istraživačke organizacije.

Kako se malware širi ostaje misterija. U jednom slučaju - ali samo jednom - infekcija se proširila putem Yahoo Instant Messengera. U drugim slučajevima, Symantec vjeruje da su žrtve posjetile lažne verzije poznatih web stranica. "Osim u tom jednom slučaju, mi još nemamo pouzdanu informaciju o tome kako se malware distribuira", rekao je O'Murchu.

Oni koji su kreirali ovaj supersofisticirani softer uložili su iznimne napore kako bi spriječili Regin i njegovu komunikaciju da budu otkriveni. "Čak i kada je otkrivena njegova prisutnost, vrlo je teško utvrditi što Regin točno radi", objavio je Symantec.

Nekoliko komada Regina i dalje kruže i još nisu otkriveni, rekao O'Murchu. On se nada da će se s objavom Symantecovih istraživanja, pojaviti više informacija od drugih istraživača.