這款先進的惡意軟體,名稱為 Regin;至少自 2008 年起就已經開始用運用在有系統的窺伺活動中,針對許多跨國目標進行窺伺。Regin 屬於後門類型的木馬程式,是一款複雜的惡意軟體,其結構呈現出罕見的技術專業能力。這款惡意軟體藉由依目標而定的眾多功能實現自訂目標,能夠使其操控者得以運用功能強大的架構進行大規模監視,並且已經運用在以政府機關、基礎設施營運商、各級企業、研究機構乃至於平民個人為對象的窺伺行動當中。
這款惡意軟體的開發時間,就算不是耗時數年,也是耗費數個月才完成的;而且作者也花費許多心思隱匿其蹤跡。Regin 的功能及其背後所投注的資源層級,在在顯示,這是一款國家級的重大網路刺探工具。
正如賽門鐵克在新發行的技術白皮書中所言,Backdoor.Regin 是一項分段式威脅,而且除第一階段外,各個階段都經過隱藏並以加密處理。執行第一階段會啟動一連串的解密作業,並載入所有後續階段,一共五個階段。而各別階段皆提供少量有關完整套件的資訊。只有集合全部五個階段,才能分析並瞭解這項威脅。
圖 1.Regin 的五個階段
Regin 也採用模組化方式,載入專為特定目標而設計的自訂功能。這種模組化方式也已經在其他系列的精密惡意軟體系列中發現,例如 Flamer 與 Weevil (即「面具」),而分段式載入架構,也類似於 Duqu/Stuxnet 系列威脅所呈現的情況。
時間進程與目標相關資料 在 2008 年至 2011 年之間,我們觀察到 Regin 感染各種組織機構,而在此之後,它卻突然隱匿。而此惡意軟體的新版本,則是自 2013 年起重新出現。攻擊目標包含民營公司、政府機關以及研究機構。將近半數的感染,都是以平民個人與小型企業做為目標。針對電信公司的攻擊,顯然意在取得透過其基礎設施傳送的通話內容。
圖 2.經各部門所確認的 Regin 感染事件
感染事件發生在各個不同的地區,已經獲悉的感染,主要發生於十個不同的國家地區。