Škodlivý prográmek (malware) známý jako Regin byl podle společnosti Symantec systematicky využíván pro špionážní kampaně proti celé řadě mezinárodních cílů nejméně od roku 2008. Malware typu Trojský kůň pronikal do počítačů, kde sbíral dostupná data a vytvořil zadní vrátka. Těmi pak mohl do napadeného počítače proniknout útočník, aby zde prováděl další akce.
Jak Regin funguje Regin je vícestupňový virus, kde je každý stupeň s výjimkou prvního skrytý a zašifrovaný. Spuštěním první vrstvy se nastartuje řetězec dešifrování a nahrávání každé další fáze v rámci pěti etap. Každý jednotlivý stupeň přitom poskytuje jen velmi málo informací o kompletním balíčku. Přitom jen získáním obsahu všech pět fází je podmíněna analýza, která umožní pochopit celou hrozbu. |
Regin je značně složitý virus, jehož struktura se podle analytiků vidí jen zřídka, a ukazuje tak na značnou technickou vyspělost jeho tvůrce. Dokáže se přizpůsobit široké škále možností v závislosti na tom, jaký cíl napadá.
„Regin používá modulární přístup, což mu umožňuje načíst právě ty funkce, které budou na míru napadenému cíli. Tento modulární přístup už jsme viděli u jiného náročného malwaru, jako jsou například Flamer a Weevil, zatímco jeho vícefázová architektura je podobná jako u rodiny virů Duqu/Stuxnet,“ vysvětlují složitost viru výzkumníci ze Symantecu.
K tomu je tento malware vybaven funkcemi, které nabízejí vysoce efektivní hromadnou správu a dozor. Virus Regin tak může být velice účinný při použití v rámci rozsáhlých špionážních operací proti vládním organizacím, provozovatelům infrastruktury, podnikům, výzkumným pracovníkům, ale i soukromým osobám. Je pravděpodobné, že vývoj trval měsíce, ne-li roky. Jeho autoři šli podle Symantecu až do krajnosti, aby zakryli stopy. Jeho schopnosti a velké množství vynaložených finančních prostředků naznačují, že je to jeden z důležitých kyberšpionážních nástrojů používaných některou ze státních agentur. Že vlády využívají ve velkém špehovací programy, není žádná novinka. Patrně i Slovensko nebo Česko utrácejí miliony za šmírovací počítačové viry.
Nejvíce jsou virem Reign postiženy Rusko a Saudská Arábie.
Virus Regin je unikátní i tím, že se řadu let šířil po celém světě nepoznán. Podle výzkumů firmy jsou jím nejvíce zasaženy Rusko, Saudská Arábie, Mexiko a Irsko. Z evropských států má zhruba pětiprocentní podíl ještě Belgie.
Virus byl zaznamenán z téměř 50 procent u soukromých osob a malých podniků, což je logické, protože jich je mnohem více než velkých institucí. Překvapením může být, že 28 procent všech napadených systémů jsou telekomunikační služby, kde patrně docházelo k odchytávání hovorů.
