Geavanceerde spionagetool richt pijlen op bedrijven, overheidsdiensten en onderzoekers

Bedrijven, overheidsinstellingen en onderzoeksbedrijven zijn doelwit van nieuwe, zeer geavanceerde spionagesoftware. De kwaadaardige software zit dusdanig complex in elkaar dat deze vermoedelijk het werk is van een overheid. De malware is al zeker 6 jaar lang actief.

Symantec noemt de Regin malware een ‘raamwerk voor massasurveillance’, dat afhankelijk van het doelwit kan worden uitgerust met allerlei extensies. Gebruikers kunnen met Regin een spionageaanval dus volledig op maat ontwikkelen voor een specifiek doelwit. De malware zou worden gebruikt voor spionagecampagnes tegen overheidsdiensten, beheerders van infrastructuren, bedrijven, onderzoekers en private individuen.

Zeer geavanceerd
De tool zit zeer geavanceerd in elkaar. “De backdoor-achtige Trojan Regin is een complex stukje malware waarvan de structuur een technische competentie laat zien die zelden worden vertoond”, schrijft Symantec in een blogpost. De ontwikkeling van de malware zou maanden, wellicht zelfs jaren in beslag hebben genomen. De makers zouden zeer veel tijd en moeite hebben gestoken in het verbergen van hun sporen. Symantec vermoedt dan ook dat de malware door een overheid is ontwikkeld.

Een andere aanwijzing hiervoor is de zeer geavanceerde werkwijze van Regin. De malware werkt met vijf fases, die allen volledig zijn versleuteld. Iedere fase bevat slechts een kleine hoeveelheid informatie over de malware. Alleen door alle fases van de malware te ontsleutelen kan de werking van Regin dan ook worden achterhaald.

Sinds 2008 actief
De malware is al zeker zes jaar actief. De eerste aanvallen met Regin werden tussen 2008 en 2011 waargenomen. In 2011 werd het plotseling stil rond de spionagetool, waarna vanaf 2013 een vernieuwde versie van Regin opdook.