瑞晶[注 1](英語:Regin)是美國國家安全局及英國政府通訊總部使用的一個複雜惡意軟體和駭客工具包[1][2],於2014年11月被卡巴斯基實驗室、賽門鐵克和The Intercept首次公開披露,[3][4]被稱為「最複雜的惡意軟體之一」[5]、「國家級病毒」[6]。卡巴斯基實驗室表示,該實驗室首次發現瑞晶於2012年春季,但其中一些最早的樣本可追溯到2003年[7]。
賽門鐵克則稱,瑞晶使用了隱形技術,可躲避一些反病毒軟體的檢測,可用於對目標的長期監視活動[8]。
結構及命名
在設計上,瑞晶使用一種「模組化」的方法,允許它載入與攻擊目標相客製化的功能,從而實現特定的間諜活動,使得瑞晶非常適合針對目標的持久、長期、大規模的監視[5][9][10]。這與火焰等其他惡意軟體的方法相同,有些功能還與2011年9月發現的Duqu惡意軟體類似[5]。其背後的駭客可以通過監視螢幕、遠端控制等管道來客製化攻擊的方法[11]。瑞晶還可以擷取和傳輸密碼、恢復已經刪除的檔案、監控網路流量[11]。
但瑞晶也是隱秘的,不會在受感染的系統上儲存多個檔案;相反,它經過多層加密,使用自己的加密虛擬檔案系統,它包含在一個從名稱上來看無害的單個檔案中,並採用了很少使用的RC5密碼的變體加密[10]。
賽門鐵克表示,這款惡意程式有五個階段,它只在執行完第一階段後才會執行下一階段,每一個階段「都非常隱蔽和加密,除了第一階段」。還稱瑞晶的每一階段所能提供的有關完整程式包的資訊都非常有限,只有攔截了全部五個階段,才有可能分析和理解具體的威脅。[5][11]
賽門鐵克表示,它和卡巴斯基都將惡意軟體定義為Backdoor.Regin。Backdoor即中文中的「後門」。[6][12]卡巴斯基和賽門鐵克都發布了白皮書,其中包含了解惡意軟體的相關資訊。 [13][14]
發起者
德國新聞雜誌《明鏡》在2013年6月報道稱,美國國家安全局對歐盟的公民和機構進行了線上監控。這些資訊來自前國家安全局工作人員愛德華·史諾登獲得的秘密檔案,他在2013年6月揭露了美國從2007年開始的稜鏡計劃,並完整曝光了與瑞晶相關的US-984XN監控計劃。該計劃年度預算為2000萬美金,可監控從手機通訊到網路通訊的各種通訊方式,且由美國國家安全局直接介入。[6]
The Intercept報道稱,2013年時英國政府通訊總部襲擊了比利時最大的電信公司Belgacom[4]。這些攻擊可能導致瑞晶引起安全公司的注意。根據IT安全公司Fox IT的分析,Regin是英國和美國情報機構的工具。Fox IT在其客戶的電腦上找到了Regin,根據他們的分析,Regin的部分在NSA ANT目錄提及,名稱為「Straitbizarre」和「Unitedrake」。《明鏡》則稱Fox IT的客戶是Belgacom。[1]
影響
在瑞晶全球感染的電腦中,28%在俄羅斯,24%在沙烏地阿拉伯,9%在墨西哥和愛爾蘭,5%在印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦[12]。
過去六年裡,Regin已在對世界多個目標進行攻擊。目前被發現的來自瑞晶的攻擊,近半都是針對網際網路服務提供者、電信業者等價值高的企業的顧客。瑞晶的攻擊領域還包括能源、航空、研究部門、醫院等。但攻擊範圍並不僅限於這些高價值的目標,近半感染裝置來自小企業和普通民眾[11]。
2014年12月,德國報紙《圖片報》報道,瑞晶在安格拉·默克爾的一名工作人員使用的USB快閃記憶體驅動器上被發現。德國總理府的所有高安全性筆記型電腦的檢查顯示沒有其他感染。[15]
參見條目
注釋
參考來源
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
