Igen kifinomult működésú, legalább 2008 óta aktív malware-t azonosított a Symantec és a Kaspersky. A biztonsági cégek vizsgálatai szerint a Regin nevű digitális kártevő az elmúlt hat évben a Windows operációs rendszert futtató célpontok egész sorát támadta világszerte, ráadásul az első vírusmintákat a Kaspersky 2003-ra datálja. Maga a kód ritkán látható szakértelmet és műszaki kompetenciát vonultat fel, és a Symantec szerint a fejlesztéséhez is évekre lehetett szükség. Ennek alapján állami megrendelést sejtenek a kampány hátterében, hasonlóan az évekkel ezelőtt felbukkant, klasszikus kiberháborús fegyverhez, a Stuxnethez.

A Regin tevékenysége az otthoni felhasználók mellett kormányszerveket, közműveket, üzleti szervezeteket és kutatóintézeteket is érint. A fertőzések több mint felét Oroszországban és Szaúd-Arábiában észlelték, de India, Irán, Afganisztán és Pakisztán mellett Írország, Belgium és Ausztria, sőt Mexikó is legalább 5 százalékos részesedéssel jelenik meg a támadások földrajzi eloszlását szemléltető diagramon. 

Mindent lát, de nem látszik

A Regin a korábban felfedezett, szofisztikált kémprogramokhoz hasonlóan modulárisan működik, vagyis a célponthoz és a feladathoz igazodva alkalmazza a különféle eszközöket. Ezzel folyamatosan és hosszú távon képes a célpontok megfigyelésére, ráadásul a jelenlétét sem egyszerű felfedezn. Nem tárol például adatokat a fertőzött gépek saját fájlrendszerében, hanem saját, titkosított virtuális fájlrendszerét haszálja, és a konténerekben sem fájlnevekkel, hanem numerikus kódokkal operál.

Az egyes funkciókat biztosító modulokkal a Regin a legváltozatosabb feladatokra képes: ilyenek a rootkit technikák, a hálózatmonitorozás és a csomagszűrés, a Windows fiókokhoz tartozó információk és az Internet Explorerben tárolt hitelesítő adatok továbbítása, a rendszerinformációk összegyűjtése, a felhasználói felületen a billentyűzet és az egérműveletek figyelése, a képernyőképek lementése, a fájlműveletek és a naplóállományok kiszivárogtatása. A malware működésének részleteiről magyar nyelven a Biztonságportál közöl összeállítást.

Na vajon ki lehet az?

Bár a biztonsági cégek a Regin eredetére vonatkozóan csak valószínűsítik a nyugati kormányzati hátteret, a német Spiegel és az amerikai The Intercept is egy évekkel ezelőtti NSA-dokumentumra hivatkozva azt állította, hogy a szervezet EU-diplomaták utáni kémkedésre használta a malware-t. A The Intercept szerint a britek lehallgatásokat is végző titkosszolgálata, a GCHQ ugyanezzel az eszközzel támadta a legnagyobb belga telekommunikációs szolgáltató, a Belgacom rendszereit, és valószínűsíti, hogy ezek az akciók irányították a kártevőre a biztonsági kutatók figyelmét is.