Symantec опубликовала доклад о трояне Backdoor.Regin, который используется для наблюдения и похищения данных из корпоративных и государственных сетей с 2008 года.
В докладе отмечается, что Regin демонстрирует высокий уровень технических компетенций разработчиков. Он представляет собой многоуровневую вредоносную программу, которая пробирается в сеть постепенно, при этом каждая из стадий скрыта и зашифрована, за исключением первичного заражения. Оно порождает цепь загрузок и дешифровок. Всего загружается пять различных элементов и лишь они в совокупности позволяют оценить угрозу.
Regin имеет модульную структуру. Отдельные модули могут подгружаться в зависимости от задачи. Инфицирование происходит различными путями. Один из них, по мнению Symantec — фишинг. Второй — мессенджеры.
Обычно Regin позволяет удаленно снимать скриншоты, отслеживать движения мыши, нажатия на клавиатуру, восстанавливать удаленные файлы. Продвинутые модули Regin могут устанавливать веб-серверы и отслеживать работу станций связи.
Regin использует зашифрованную виртуальную файловую систему, альтернативное шифрование.
Symantec полагает, что порядка 28% жертв вируса принадлежат к телекоммуникационному бизнесу. Также пострадали компании, работающие в энергетике, авиаперевозках, исследовательском секторе. Наибольше число заражений отмечается в России и Саудовской Аравии, также среди пострадавших Мексика, Ирландия, Индия, Иран, Афганистан, Бельгия, Австрия и Пакистан.
