image

"Regin-malware ouder en geavanceerder dan Stuxnet"

woensdag 26 november 2014, 14:09 door Redactie, 13 reacties

De Regin-malware die deze week door verschillende anti-virusbedrijven werd onthuld is volgens één van de onderzoekers ouder en geavanceerder dan Stuxnet, de malware die werd ingezet om de uraniumverrijkingscentrale in het Iraanse Natanz te saboteren. Ondanks alle aandacht voor de complexiteit van Regin is er ook kritiek op de anti-virusbedrijven, alsmede de inlichtingendiensten die de malware zouden gebruiken.

Regin is volgens Symantec al sinds 2008 in gebruik, terwijl Kaspersky Lab zelfs een compilatiedatum van 2003 voorbij zag komen. De malware gebruikt allerlei technieken om detectie te voorkomen. Zo is het nog altijd onbekend hoe Regin computers infecteert. "Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit", zegt Costin Raiu, onderzoeksdirecteur bij Kaspersky.

Volgens Raiu is Regin ook compacter. Een volledige Flame-infectie bedraagt 20MB. Regin is ongeveer 8MB groot, waaronder het virtuele bestandssysteem dat het gebruikt om waardevolle data op te slaan. "Ik denk dat Regin waarschijnlijk ouder is dan Stuxnet en Flame en geavanceerder", zegt de onderzoeker tegenover Dark Reading.

Kritiek

Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte. Het Finse F-Secure ontdekte Regin al in het begin van 2009 op de Windowsserver van een Noord-Europese klant. Ook zou in dat jaar een onderdeel van Regin via de online virusscanwebsite VirusTotal zijn gecontroleerd. Toch publiceerden Symantec en Kaspersky deze week pas hun rapporten en kwam ook F-Secure met een eigen analyse.

"Anti-virusbedrijven houden staatsmalware jaren geheim en proberen vervolgens voor marketingdoeleinden als eerste de scoop te hebben", zegt beveiligingsonderzoeker Claudio Guarnieri. Hij merkt op dat beveiligingsaanbieders zeker al sinds 2011 van Regin wisten. De onderzoeker zou zelf al maanden met een onderzoek naar de malware bezig zijn en zich nu in de afrondende fase bevinden. "Interessante timing", zegt hij over de publicaties die deze week verschenen.

Als reden voor de trage reactie verklaart Symantec tegenover The Register dat de malware zeer complex is en de onderzoekers eerst niet wisten waar ze mee te maken hadden. Daarnaast was het één van de vele malware-exemplaren die de virusbestrijder elke dag voorbij ziet komen. Ook zijn er wereldwijd niet veel Regin-infecties bekend, waardoor de malware in de luwte kon blijven opereren.

Legaliteit?

Het Delftse beveiligingsbedrijf Fox-IT liet deze week weten dat Regin door de Amerikaanse inlichtingendienst NSA en Britse inlichtingendienst GCHQ is ontwikkeld. Daardoor is er ook sprake van een juridisch component, stelt Eric King, adjunct-directeur van privacyorganisatie Privacy International. Volgens King is er geen instantie in Groot-Brittannië die de bevoegdheid heeft om het gebruik van spionagesoftware zoals Regin toe te staan, waarbij wordt voldaan aan de voorwaarden van het Europees hof voor de Rechten van de Mens. Dat zou inhouden dat de GCHQ bij het inzetten van Regin illegaal bezig is geweest, aldus King.

Reacties (13)
26-11-2014, 14:44 door Anoniem
2003.
Belgacom infectie...
26-11-2014, 15:11 door Anoniem
"Dat zou inhouden dat de GCHQ bij het inzetten van Regin illegaal bezig is geweest, aldus King.", ... en daarom zullen ze het nooit toegeven.
26-11-2014, 15:23 door Anoniem
Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte.
So far so good wat betreft de integriteit en de geloofwaardigheid van de anti-virus boeren. StaSi malware als FinFischer zullen ze ook gewoon uitzonderen van detectie en god weet wat voor ellende nog meer.
Ik heb al jaren mijn twijfels bij de integriteit van anti-virus boeren maar keer op keer worden deze twijfels omgezet in feiten.
26-11-2014, 15:57 door [Account Verwijderd]
[Verwijderd]
26-11-2014, 18:54 door [Account Verwijderd]
[Verwijderd]
26-11-2014, 22:57 door [Account Verwijderd] - Bijgewerkt: 26-11-2014, 22:59
[Verwijderd]
27-11-2014, 08:14 door Anoniem
Door Picasa3:
Door Anoniem:
Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte.
So far so good wat betreft de integriteit en de geloofwaardigheid van de anti-virus boeren. StaSi malware als FinFischer zullen ze ook gewoon uitzonderen van detectie en god weet wat voor ellende nog meer.
Ik heb al jaren mijn twijfels bij de integriteit van anti-virus boeren maar keer op keer worden deze twijfels omgezet in feiten.
Als iets past, wil dat nog niet zeggen dat je denkbeelden daarover ook kloppen. Toeval kan ook een rol spelen.
Toeval bestaat niet. Lees deze maar eens http://mashable.com/2014/11/25/regin-spy-malware-nsa-gchq/ . Prins van Fox-It geeft zelfs toe dat ze van het bestaan van Regin afwisten maar er niets mee deden om de NSA/GHCQ niet in hun werk te hinderen. Is het nu nog steeds toeval voor je?
27-11-2014, 10:20 door [Account Verwijderd]
[Verwijderd]
27-11-2014, 10:46 door Anoniem
Door Krakatau:
Door Anoniem:
Door Picasa3:
Door Anoniem:
Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte.
So far so good wat betreft de integriteit en de geloofwaardigheid van de anti-virus boeren. StaSi malware als FinFischer zullen ze ook gewoon uitzonderen van detectie en god weet wat voor ellende nog meer.
Ik heb al jaren mijn twijfels bij de integriteit van anti-virus boeren maar keer op keer worden deze twijfels omgezet in feiten.
Als iets past, wil dat nog niet zeggen dat je denkbeelden daarover ook kloppen. Toeval kan ook een rol spelen.
Toeval bestaat niet. Lees deze maar eens http://mashable.com/2014/11/25/regin-spy-malware-nsa-gchq/ . Prins van Fox-It geeft zelfs toe dat ze van het bestaan van Regin afwisten maar er niets mee deden om de NSA/GHCQ niet in hun werk te hinderen. Is het nu nog steeds toeval voor je?

Dan is het misschien geen toeval maar wel een goede zaak! Want de NSA/GHCQ moeten natuurlijk wel hun werk kunnen doen (met al die geflipte zeloten tegenwoordig, die vanalles beramen).

Huh? En hoe weet jij dan dat het bij die niet bestaande zeloten blijft? Alles voor schijnveiligheid dan maar? ISIS was er ook 'zomaar ineens' terwijl de NSA/GHCQ al die geflipte zeloten zouden monitoren. Behoorlijke faal dus waaruit blijkt dat al die surveillance tools maar één ding echt goed kunnen en dat is onschuldigen bestempelen als criminelen want de echte boeven laten zich niet surveilleren.
27-11-2014, 10:52 door Anoniem
Door Anoniem:
Door Picasa3:
Door Anoniem:
Hoewel Regin deze week aan de wereld werd onthuld zijn anti-virusbedrijven al langer van het bestaan van de malware op de hoogte.
So far so good wat betreft de integriteit en de geloofwaardigheid van de anti-virus boeren. StaSi malware als FinFischer zullen ze ook gewoon uitzonderen van detectie en god weet wat voor ellende nog meer.
Ik heb al jaren mijn twijfels bij de integriteit van anti-virus boeren maar keer op keer worden deze twijfels omgezet in feiten.
Als iets past, wil dat nog niet zeggen dat je denkbeelden daarover ook kloppen. Toeval kan ook een rol spelen.
Toeval bestaat niet. Lees deze maar eens http://mashable.com/2014/11/25/regin-spy-malware-nsa-gchq/ . Prins van Fox-It geeft zelfs toe dat ze van het bestaan van Regin afwisten maar er niets mee deden om de NSA/GHCQ niet in hun werk te hinderen. Is het nu nog steeds toeval voor je?
Jij begrijpt blijkbaar niet wat malware is, Regin is namelijk spionage-software.
Begrijp me goed, ik ben absoluut tegen de digitalisering van onze maatschappij, IoT vind ik beangstigend, "slimme" apparatuur geeft enkel aan hoe "dom" de gemiddelde gebruiker is, en de overheid wrijft ondertussen in de handjes, etc. etc.

MAAR, het is nog altijd de Wetgever die bepaald wat wel en niet mag.
Zo mag de politie, met bevel, inbreken bij verdachten. Dat kan onder het mom van een doorzoeking, maar ook om bepaalde (spionage-)apparatuur te plaatsen. Regin is niet veel anders, behalve dan dat het 'waarschijnlijk' illegaal is ingezet, te weten buiten jurisdictie v/d betrokken overheden.

Maar om AV-boeren daarvan de schuld te geven is complete onzin, ga je RWS nu ook aansprakelijk stellen voor het feit dat agenten vaak structureel te hard rijden? Want ze weten dat natuurlijk héél goed, maar doen er niets aan!
27-11-2014, 11:54 door Anoniem
In plaats veel tijd, geld en energie te steken in dit soort onderzoeken naar APT's (wat overigens maar 1% van de globale malware factor uitmaakt, als het dat al haalt), zouden ze eens beter en meer aandacht besteden in consumer awareness. De humane factor is nog altijd het grootste gevaar, niet enkel op straat.
27-11-2014, 14:55 door Anoniem
For Prins, the reason is completely different.

"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."

http://mashable.com/2014/11/25/regin-spy-malware-nsa-gchq/

Oftewel, Fox-IT is dus ook onbetrouwbaar als het gaat om het tijdig signaleren en openbaren van security issues aan security organizaties...
28-11-2014, 15:14 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.