先前科技新报曾报导美国 NSA 不只监听,而且准备打网络战。如今又有劲爆的消息,先前侵入欧盟的恶意程式 Regin 证实与 NSA 和其同盟有关连。根据德国媒体 SPIEGEL 最新报导,先前公布的 keylogger QWERTY 源代码,与 Regin 的模组源代码高度雷同。NSA 会跟同盟分享彼此使用的工具。
卡巴斯基的资安专家比对史诺登先前公布的 keylogger QWERTY 源代码,与手上的恶意程式 Regin 的程式码相比,发现 QWERTY 与 Regin 的 50251 模组相仿,因此功能也类似。
▲ Regin 与 QWERTY 程式码高度雷同
资安专家发现 QWERTY 需要呼叫 Regin 的模组 50225,执行与 Kernal-mode Hooking 功能。QWERTY 这部分的程式码,20123 模组跟 Regin 50251 高度相像。因此可以说 QWERTY keylogger 无法单独作用,必须要有其他模组共同作用才行。如果不能断言 QWERTY 是 Regin 的一部分,至少是 NSA 与其同盟之间分享的程式码,拿来当监视工具。另外程式码中有大量提到板球字样,显示 Regin 的开发应该跟讲英式英语的国家有渊源。
英国 GCHQ 曾侵入比利时电信的网络,想获得关于欧盟的情报。去年 11 月时终于知道是用复杂的恶意程式 Regin,侵入比利时电信。Regin 显然背后有国家力量撑腰,侵入欧盟网络后并不急着发挥作用,而是着重在情报目的。除了欧盟,目前还知道俄罗斯、沙特阿拉伯也曾遭 Regin 入侵。
(首图来源:Spiegel)
相关连结
- Source Code Similarities: Experts Unmask ‘Regin’ Trojan as NSA Tool
- Comparing the Regin module 50251 and the “Qwerty” keylogger
- Researchers Tie Qwerty Keylogger to Regin Malware Platform
- Firm finds link between Regin spy tool and QWERTY keylogger
