De Regin-malware die deze week door verschillende anti-virusbedrijven werd onthuld is volgens één van de onderzoekers ouder en geavanceerder dan Stuxnet, de malware die werd ingezet om de uraniumverrijkingscentrale in het Iraanse Natanz te saboteren. Ondanks alle aandacht voor de complexiteit van Regin is er ook kritiek op de anti-virusbedrijven, alsmede de inlichtingendiensten die de malware zouden gebruiken.
Regin is volgens Symantec al sinds 2008 in gebruik, terwijl Kaspersky Lab zelfs een compilatiedatum van 2003 voorbij zag komen. De malware gebruikt allerlei technieken om detectie te voorkomen. Zo is het nog altijd onbekend hoe Regin computers infecteert. "Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit", zegt Costin Raiu, onderzoeksdirecteur bij Kaspersky.
Volgens Raiu is Regin ook compacter. Een volledige Flame-infectie bedraagt 20MB. Regin is ongeveer 8MB groot, waaronder het virtuele bestandssysteem dat het gebruikt om waardevolle data op te slaan. "Ik denk dat Regin waarschijnlijk ouder is dan Stuxnet en Flame en geavanceerder", zegt de onderzoeker tegenover Dark Reading.
Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte. Het Finse F-Secure ontdekte Regin al in het begin van 2009 op de Windowsserver van een Noord-Europese klant. Ook zou in dat jaar een onderdeel van Regin via de online virusscanwebsite VirusTotal zijn gecontroleerd. Toch publiceerden Symantec en Kaspersky deze week pas hun rapporten en kwam ook F-Secure met een eigen analyse.
"Anti-virusbedrijven houden staatsmalware jaren geheim en proberen vervolgens voor marketingdoeleinden als eerste de scoop te hebben", zegt beveiligingsonderzoeker Claudio Guarnieri. Hij merkt op dat beveiligingsaanbieders zeker al sinds 2011 van Regin wisten. De onderzoeker zou zelf al maanden met een onderzoek naar de malware bezig zijn en zich nu in de afrondende fase bevinden. "Interessante timing", zegt hij over de publicaties die deze week verschenen.
Als reden voor de trage reactie verklaart Symantec tegenover The Register dat de malware zeer complex is en de onderzoekers eerst niet wisten waar ze mee te maken hadden. Daarnaast was het één van de vele malware-exemplaren die de virusbestrijder elke dag voorbij ziet komen. Ook zijn er wereldwijd niet veel Regin-infecties bekend, waardoor de malware in de luwte kon blijven opereren.
Het Delftse beveiligingsbedrijf Fox-IT liet deze week weten dat Regin door de Amerikaanse inlichtingendienst NSA en Britse inlichtingendienst GCHQ is ontwikkeld. Daardoor is er ook sprake van een juridisch component, stelt Eric King, adjunct-directeur van privacyorganisatie Privacy International. Volgens King is er geen instantie in Groot-Brittannië die de bevoegdheid heeft om het gebruik van spionagesoftware zoals Regin toe te staan, waarbij wordt voldaan aan de voorwaarden van het Europees hof voor de Rechten van de Mens. Dat zou inhouden dat de GCHQ bij het inzetten van Regin illegaal bezig is geweest, aldus King.
Deze posting is gelocked. Reageren is niet meer mogelijk.