Geavanceerde malware Regin blijkt al sinds 2008 te spioneren

Symantec heeft nieuwe malware met de naam Regin blootgelegd. Het betreft zeer uitgebreide software die al minimaal sinds 2008 actief gebruikt wordt om uiteenlopende doelwitten te bespieden.

Regin kan gebruikt worden om bijvoorbeeld burgers, fabrikanten, onderzoekers of overheden in de gaten te houden, maar het is niet duidelijk wie de malware heeft ontwikkeld. Symantec is er wel van overtuigd dat Regin een van de belangrijkste hulpmiddelen voor cyberspionage van ‘een land’ is.

Die conclusie wordt onder andere getrokken doordat Regin zeer complex is. De ontwikkeling van de malware zal maanden tot jaren in beslag hebben genomen. Symantec vergelijkt de opbouw van Regin ook met Stuxnet, spionagesoftware die de gemoederen enkele jaren terug flink bezighield.

Doordat Regin uit verschillende onderdelen ofwel lagen bestaat, is het programma eenvoudig op het doelwit aan te passen. Zo goed als alle onderdelen zijn bovendien apart versleuteld en zo goed als mogelijk onzichtbaar gemaakt. Er waren bijvoorbeeld onderdelen specifiek voor basale taken als het stelen van wachtwoorden of het analyseren van datapakketten.

Symantec meldt ook dat telecomproviders een opmerkelijk doelwit waren voor Regin. 28 procent van de infecties richtte zich op dit soort doelwitten. Een zeer specifiek onderdeel van Regin richt zich op het doorzoeken van de database van zendmasten van telecomproviders.

Tussen 2008 en 2011 werd Regin veelvuldig gebruikt, maar in 2011 werd de malware ineens teruggetrokken. In 2013 maakte een nieuwe versie van de software opnieuw zijn opwachting.

De meeste infecties van Regin zijn te vinden in Rusland en Saudi-Arabië. In Europa is de malware vooralsnog niet veelvuldig teruggevonden, enkel België, Ierland en Oostenrijk worden genoemd als vindplaatsen.