Regin malware jarenlang onopgemerkt actief

Beveiligingsbedrijf Symantec heeft een zeer geavanceerd stukje malware gevonden dat al een paar jaar actief blijkt te zijn.

De Regin-malware wordt volgens Symantec gebruikt om burgers, overheden en bedrijven te bespioneren en is vooral actief in Rusland en het Midden-Oosten. Er werden ook infecties gevonden in België, Ierland en Oostenrijk. Wie de malware gemaakt heeft is onbekend, maar Symantec vermoedt dat Regin ‘een van de belangrijkste instrumenten voor cyberspionage van een land is.’ Welk land dit mogelijk zou kunnen zijn daar wil Symantec niet over speculeren.

Laagjes

Opvallend is dat Regin zo lang onopgemerkt is gebleven. Dit is deels mogelijk doordat de malware werkt met een gelaagd systeem, waarbij elke laag opnieuw wordt versleuteld en verborgen. Deze lagen kunnen per doelwit worden aangepast en geven de gebruiker daardoor ‘een krachtig platform voor massasurveillance,’ meldt Symantec.

Modulair

De malware is opgebouwd uit verschillende modules die elk een andere functie hebben. Zo kunnen computers worden overgenomen, wachtwoorden worden gestolen of afgelezen bij het invoeren ervan en kan verkeer naar webservers worden afgetapt. Ook werden enkele providers geïnfecteerd, waarbij praktisch de hele infrastructuur van deze providers werd afgetapt.