シマンテックの研究者は、「Regin」と呼ばれる特に高度なマルウェアを特定した。これはおそらく国家によって開発され、少なくとも2008年以降、政府、インフラ運営者、企業、研究者、個人をスパイするために使用されてきた。
「Reginは、めったに見られないレベルの技術的能力を示しています」と、シマンテックは日曜日に発表した声明で述べた。この声明は、このマルウェアに関する技術ホワイトペーパーとともに発表された。Reginは「国家が使用する主要なサイバースパイ活動ツールの一つ」であることが示唆されている。
研究者らは、主にロシアとサウジアラビア、メキシコ、アイルランド、インド、アフガニスタン、イラン、ベルギー、オーストリア、パキスタンの10か国での使用を確認した。
Reginはバックドア型のトロイの木馬で、「標的に応じて幅広い機能をカスタマイズ可能」だとシマンテックは述べ、「管理者に大規模監視のための強力なフレームワークを提供する」と付け加えた。開発にはおそらく数ヶ月、場合によっては数年を要し、「作成者は痕跡を隠蔽するために多大な労力を費やした」という。
シマンテックによると、最初のバージョンは2008年から2011年にかけて複数の組織をスパイするために使用されましたが、「突如として撤回」され、昨年は新しいバージョンが登場しました。確認されているRegin感染のほぼ半数は個人や中小企業に関係しており、通信業界への攻撃は、そのインフラを経由する通話へのアクセスを狙っているようです。
シマンテック シマンテックによれば、Regin には 5 つの段階がある。
このマルウェアは多段階の脅威であり、各段階は隠蔽・暗号化されています。ただし、最初の段階を実行するとドミノ復号チェーンが開始され、後続の各段階がロードされます。シマンテックによると、合計5つの段階があり、各段階からマルウェアパッケージ全体に関する情報はほとんど得られません。「5つの段階すべてを把握することによってのみ、脅威を分析し、理解することが可能になります。」
Reginはモジュール型のアプローチを採用しており、カスタム機能は標的に合わせてカスタマイズされます。これは、FlamerやWeevilといった他の高度なマルウェアファミリーでも採用されているアプローチです。Reginの多段階ローディング機能は、Duqu/Stuxnetマルウェアにも類似していると研究者らは述べています。開発には数ヶ月、あるいは数年かかった可能性が高いです。
研究者らは数十のペイロードを特定しており、その中には Microsoft IIS Web サーバーのトラフィック モニターや携帯電話基地局コントローラーを狙ったトラフィック スニファーなど、特定の高度なペイロード モジュールも含まれている。
「Reginは非常に複雑な脅威であり、体系的なデータ収集や情報収集活動に利用されてきました。このマルウェアの開発と運用には多大な時間とリソースの投入が必要であったと推測され、国家による関与が示唆されています」とシマンテックは述べています。「Reginの設計は、標的に対する持続的かつ長期的な監視活動に非常に適しています。」
シマンテックはさらに、「Reginには未発見のコンポーネントが多く残っており、追加の機能やバージョンが存在する可能性がある」と考えている。研究者らは分析を継続しており、マルウェアに関する新たな発見があれば、公開アップデートを提供する予定だと同社は述べている。
