image

Kaspersky Lab ontdekt Regin-exemplaar uit 1999

woensdag 3 december 2014, 17:26 door Redactie, 7 reacties

Het Russische anti-virusbedrijf Kaspersky Lab heeft een exemplaar van de geavanceerde Regin-spionagemalware uit 1999 gevonden. Daarmee gaat het om het oudste exemplaar dat tot nu toe bekend is. Eerder werd een exemplaar uit 2003 als oudste bestempeld. Het bestaan van Regin werd onlangs door verschillende anti-virusbedrijven openbaar gemaakt.

Een analist van Kaspersky Lab noemde de malware zelfs geavanceerder dan Stuxnet. Toch was er ook kritiek op de anti-virusbedrijven omdat ze zolang zouden hebben gewacht met het openbaren van de informatie. Het Russische anti-virusbedrijf wijst hiervoor naar een vergelijking van Sean Sullivan van F-Secure. Hij vergeleek het onderzoek naar Regin met het werk van paleontologen die de botten van een onbekende dinosaurus vinden. Iedereen heeft een bot, maar het volledige skelet ontbreekt.

In het geval van Regin ontdekte Kaspersky Lab in 2012 een beschadigd "bot" van een tot dan toe onbekende malware. Het uitzoeken van de omvang van een bepaalde spionagecampagne of malware-familie kan soms maanden of jaren duren merkt het bedrijf op. Daarbij wordt soms ook samengewerkt met andere partijen die mogelijk andere delen van de malware in bezit hebben. "Het heeft weinig zin om je ontdekking openbaar te maken totdat je kunt bevestigen dat de monsters echt, groot en gevaarlijk zijn", aldus het Russische anti-virusbedrijf.

De meeste Regin-exemplaren dateren uit 2007, 43 stuks in totaal, gevolgd door 35 exemplaren uit 2009. Kaspersky gaat ook in op verwijten dat anti-virusbedrijven het bestaan van Regin zouden hebben verzwegen. "We zijn nog nooit gevraagd door een klant of overheidsinstantie om bepaalde malware te whitelisten of door te laten. We zouden nooit aan zo'n verzoek voldoen, ongeacht van wie het afkomstig is."

Reacties (7)
03-12-2014, 17:42 door Anoniem
Als de monsters groot en gevaarlijk zijn is het leed al gedaan. Maak gelijk dingen openbaar en de community ziet dan vanzelf wel of het een monster is. Of is er wellicht in plaats van whitelisting gevraagd om informatie pas na lange tijd vrij te geven? Dan heb je hetzelfde resultaat en kan Kaspersky met droge ogen beweren dat zijn product de wereld echt veiliger maakt.
03-12-2014, 22:13 door [Account Verwijderd]
[Verwijderd]
04-12-2014, 01:30 door Anoniem
Nee, indien Kaspersky code
Door Picasa3:
Door Anoniem: Maak gelijk dingen openbaar en de community ziet dan vanzelf wel of het een monster is..
Dus een beetje code weggeven en de community vragen wat het is? Geloof je dit nu zelf of zo?
Je begrijpt mij verkeerd. Ik bedoel dat wanneer Kaspersky botcode vind men dit direct in detectie dient te stoppen en niet eerst een jaar naar de mogelijke omgang moet gaan kijken.

Indien meerdere bedrijven dit doen linkt men uiteindelijk de bot onderdelen wel aan elkaar en zitten we niet een jaar lang met een compleet nutteloze virusscanner...
04-12-2014, 07:54 door Anoniem
En wat hebben ze daar met de kennis gedaan? Niet zo heel veel want tot vorige week nog herkende geen enkele virusscanner de Regin malware nog. Nu kun je je afvragen of dat bewust zo gedaan is om, net als Fox-IT, de NSA/GHCQ niet in de weg te zitten. Je mag verwachten dat een ant-virus product je tegen bekende malware beschermt, in de praktijk is dat dus nog niet zo zeker.
04-12-2014, 09:08 door Mysterio
Wat zou de werkelijke rede van de vertraging zijn? We kunnen slechts gissen.
04-12-2014, 09:12 door potshot
Door Anoniem: En wat hebben ze daar met de kennis gedaan? Niet zo heel veel want tot vorige week nog herkende geen enkele virusscanner de Regin malware nog. Nu kun je je afvragen of dat bewust zo gedaan is om, net als Fox-IT, de NSA/GHCQ niet in de weg te zitten. Je mag verwachten dat een ant-virus product je tegen bekende malware beschermt, in de praktijk is dat dus nog niet zo zeker.

maar de russen zijn veel te eerlijk om zoiets te misbruiken?

hoe naief kun je zijn..
04-12-2014, 13:06 door Anoniem
Kaspersky heeft een lange geschiedenis van onzin-uitspraken, in typisch Russische traditie. Lang geleden beweerden ze nog dat hun mailing list server gehackt zou zijn, toen bleek dat die open stond voor iedereen.

Niets van wat Kaspersky zegt kun je zonder meer geloven. Je kunt er wel vanuit gaan dat er "ulterior motives" zijn om bepaalde uitspraken te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.