国家安全局和瑞金网络间谍恶意软件之间的联系变得更加清晰

国家安全局和瑞金网络间谍恶意软件之间的联系变得更加清晰

美国国家安全局可能使用的密钥记录恶意软件与Regin的一个组件共享大量代码,Regin是一个复杂的平台,多年来一直被用来监视企业、政府机构和个人。

这个键盘记录程序很可能是美国国家安全局及其情报合作伙伴使用的攻击框架的一部分,它被称为QWERTY,是美国国家安全局前承包商爱德华·斯诺登泄露给记者的文件之一。1月17日,德国新闻杂志《明镜周刊》发布了一份关于国家安全局和其他五个合作伙伴——英国、加拿大、澳大利亚和新西兰的情报机构的恶意软件能力的秘密文件。

反病毒公司卡巴斯基实验室(Kaspersky Lab)的恶意软件研究人员周二在博客中说:“我们获得了《明镜周刊》(Der Spiegel)发布的恶意文件的副本,当我们分析这些文件时,它们立即提醒了我们瑞金。”仔细查看代码,我们得出结论,‘QWERTY’恶意软件在功能上与Regin 50251插件完全相同。”

此外,卡巴斯基的研究人员发现,QWERTY和50251插件都依赖于Regin平台的另一个模块50225,该模块处理内核模式挂钩。这个组件允许恶意软件在操作系统的最高特权区域——内核中运行。

卡巴斯基的研究人员说:“这有力地证明了QWERTY只能作为Regin平台的一部分运行。”考虑到Regin平台的极端复杂性,以及在没有访问其源代码的情况下被他人复制的可能性很小,我们得出结论,QWERTY恶意软件开发人员和Regin开发人员是相同的或是共同工作的。”

《明镜》报道称,QWERTY很可能是一个统一的恶意软件框架的插件,该框架的代号为WARRIORPRIDE,所有5个Eye合作伙伴都在使用它。这是基于代码中对称为WzowskiLib或CNELib的依赖项的引用。

在另一份被泄露的文件中,美国国家安全局的加拿大通信安全机构warriorpide被描述为一个灵活的计算机网络开发(CNE)平台,它是“WZOWSKI”五眼API(应用程序编程接口)的实现。

文件还指出,在英国政府通信总部(GCHQ),WARRIORPRIDE的代号是DAREDEVIL,五眼情报合作伙伴可以为它创建和共享插件。

新发现的QWERTY和Regin之间的联系表明,研究人员称为Regin的网络间谍恶意软件平台很可能是WARRIORPRIDE。

一些专家已经根据其他线索怀疑了这一点。据卡巴斯基实验室称,雷金是2013年比利时密码学家让-雅克·奎斯夸特(Jean-Jacques Quisquater)的个人电脑感染的恶意软件程序。这起攻击与另一起针对比利时电信集团Belgacom的恶意软件攻击有关,该集团的客户包括欧盟委员会、欧洲议会和欧洲理事会。

《明镜》2013年9月根据斯诺登泄露的文件报道说,GCHQ是代号为“社会主义行动”的秘密行动的一部分,对贝尔加com的袭击负责。

荷兰安全公司福克斯资讯科技公司(foxit)的联合创始人罗纳德•普林斯(Ronald Prins)受聘调查针对贝尔加康(Belgacom)的袭击事件,他在去年11月的截获行动中表示,他确信瑞金被英美情报部门利用。截获还援引不具名消息人士的话报道,这些恶意软件被用于攻击欧洲议会。

美国国安局发言人当时表示,国安局不会对拦截的“猜测”发表评论

瑞金的存在最早是在11月份被披露的,当时卡巴斯基实验室和赛门铁克都发表了大量关于瑞金的研究论文。然而,在这之前,反病毒公司至少一年就知道这种恶意软件,法医证据表明,这种威胁可能早在2006年就已经存在。

安全研究人员认为,瑞金在复杂程度上可与Stuxnet相提并论,Stuxnet是一种据报道由美国和以色列制造的电脑蠕虫,曾被用来破坏伊朗的核努力,摧毁铀浓缩离心机。

然而,与Stuxnet不同的是,瑞金主要用于间谍活动,而不是破坏活动。赛门铁克在10个国家发现了大约100名瑞金受害者,大部分在俄罗斯和沙特阿拉伯,还有墨西哥、爱尔兰、印度、阿富汗、伊朗、比利时、奥地利和巴基斯坦。卡巴斯基实验室称,主要目标是电信运营商、政府机构、多国政治机构、金融机构、研究中心以及从事高级数学和密码研究的个人。

卡巴斯基全球研究和分析团队负责人科斯汀·拉尤(Costin Raiu)周一通过电子邮件表示,自2014年年中以来,没有发现新的瑞金感染病例。

目前尚不清楚恶意软件平台的作者是否正致力于完全替换它,因为它已经被曝光,或者只是对它进行了重大修改。

“我们相信,用其他东西取代整个瑞金平台将是非常困难的,”拉尤说因此,它更有可能被修改和改进,而不是完全被取代。”