Symantec เปิดเผยเรื่อง Regin มัลแวร์เพื่อการจารกรรมข้อมูลตัวใหม่

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 24 พฤศจิกายน 2014.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    Symantec เปิดเผยว่าทีมวิจัยด้านความปลอดภัยของบริษัทได้เปิดเผยข้อมูลเรื่องมัลแวร์ที่ถูกสร้างมาสำหรับการจารกรรมข้อมูล พบหลายหน่วยงานซึ่งมีทั้งองค์กรด้านพลังงานและโทรคมนาคมในหลายประเทศตกเป็นเป้าหมายด้วย โดยมีการตั้งชื่อมัลแวร์ตัวนี้ว่า Regin

    Symantec วิเคราะห์ว่า Regin ถูกหน่วยงานรัฐของประเทศใดประเทศหนึ่งพัฒนามาตั้งแต่ปี 2006 และมีการนำมาใช้งานจริงเพื่อล้วงข้อมูลจากหน่วยงานรัฐบาล, องค์กรพลังงาน, ผู้ให้บริการเครือข่ายโทรคมนาคม, หน่วยงานวิจัย, โรงพยาบาล, ผู้ให้บริการอินเทอร์เน็ต, สายการบิน และบุคคลสำคัญในหลายประเทศ โดยเป้าหมายเกินกว่าครึ่งของ Regin นั้นเป็นหน่วยงานและบุคคลในรัสเซียและซาอุดิอาระเบีย ส่วนเป้าหมายอื่นมีกระจายกันทั้งในเม็กซิโก, ไอร์แลนด์, อินเดีย, อาฟกานิสถาน, อิหร่าน, เบลเยี่ยม, ออสเตรีย และปากีสถาน

    Regin เป็นมัลแวร์ที่โจมตีทาง back door ของระบบ มันมีความสามารถในการปรับเปลี่ยนระดับความสามารถในการทำงานได้หลากหลายขึ้นอยู่กับเป้าหมายในการโจมตีของมันซึ่งอาจใช้เวลานานหลายเดือนหรือเป็นปี เพื่อทำให้ผู้ที่ควบคุมมันสามารถเข้าสอดส่องข้อมูลของเป้าหมายปริมาณมหาศาลได้ ทั้งนี้ Symantec ระบุว่าผู้ที่ควบคุม Regin ได้ทำการกำจัดร่องรอยของ Regin เป็นอย่างดี

    การทำงานของ Regin นั้นมีการแยกย่อยเพื่อเจาะข้อมูลเป็น 5 ขั้นตอน โดยทุกขั้นตอนมีการเข้ารหัสและซ่อนตัวตนเป็นอย่างดีเว้นแต่ขั้นตอนแรกสุดที่เป็นตัวเริ่มกระบวนการทำงานถอดรหัสข้อมูลเป้าหมาย ซึ่ง Symantec ระบุว่าการจะประเมินความรุนแรงที่แท้จริงว่า Regin สามารถสร้างความเสียหายได้ขนาดไหนนั้นจำเป็นต้องเข้าถึงวิธีการทำงานทั้ง 5 ขั้นตอนของ Regin ได้ทั้งหมดเสียก่อน

    Symantec ระบุว่า Regin ถูกใช้งานจริงในการจารกรรมข้อมูลตั้งแต่ปี 2008 และหยุดทำงานไปในปี 2011 ก่อนจะมีการถูกใช้งานอีกครั้งในเวอร์ชั่นใหม่ที่ผ่านการปรับปรุงตั้งแต่ปี 2013 ที่ผ่านมา (และเป็นเมื่อปีที่แล้วนี่เองที่มีลูกค้าของ Symantec ได้ส่งข้อมูลเงื่อนงำบางอย่างมาให้วิเคราะห์จนนำมาสู่การค้นพบ Regin) โดยวิธีการแพร่กระจายนั้นถูกทำผ่านทาง Yahoo! Messenger ซึ่งเชื่อว่าการโจมตีเป้าหมายอาศัยความมชำนาญของผู้สร้าง Regin ที่รู้จักช่องโหว่ของโปรแกรมทำให้ส่งมัลแวร์เข้าไปทำงานในเครื่องเป้าหมายได้โดยไม่ต้องหลอกล่อให้เหยื่อสร้างปฏิสัมพันธ์ใดๆ กับโปรแกรม Yahoo! Messenger

    สื่อบางรายเริ่มตั้งข้อสังเกตจากข้อมูลที่ Regin เปิดเผยมาว่าไม่มีรายชื่อของสหรัฐอเมริกา, อิสราเอล และจีน อยู่ในข่ายเป้าหมายการโจมตีของ Regin จึงอาจเป็นไปได้ว่ามีความสัมพันธ์บางอย่างซ่อนอยู่ระหว่างประเทศเหล่านี้กับมัลแวร์ตัวร้าย โดยเฉพาะอย่างยิ่งสหรัฐอเมริกาและอิสราเอลซึ่งถูกสงสัยว่าเป็น 2 ประเทศที่อยู่เบื้องหลังการทำงานของ Stuxnet มัลแวร์เพื่อเป้าหมายทางการทหารที่มีการค้นพบมาก่อนหน้านี้

    ที่มา - PCWorld: 1, 2

    Malware, Spyware, Symantec, Security
     
    iPokz, 24 พฤศจิกายน 2014
    #1

แบ่งปันหน้านี้