SAMSUNG_06202 Z SAMSUNG_06202 Z SAMSUNG_06202 Z Advertisement

NSA zrejme na získavanie dát spolupracuje s tvorcami malvéru

Bezpečnosť
0

nsa_world.jpg Značná časť kódu keyloggera, ktorý bol použitý americkou Národnou bezpečnostnou agentúrou NSA, je zhodná s kľúčovým komponentom sofistifikovanej platformy Regin, ktorá sa roky používala na špehovanie firiem, vládnych inštitúcií i jednotlivcov.

Keylogger (aplikácia, ktorá zaznamenáva stlačené klávesy na počítači používateľa a následne ich zasiela útočníkovi) s označením QWERTY bol pravdepodobne súčasťou rozsiahleho systému používaného NSA a jej partnerskými organizáciami a bol medzi informáciami, ktoré Edward Snowden poskytol novinárom.

Keylogger sprístupnil 17. januára nemecký denník Der Spiegel spolu so súborom tajných dokumentov, ktoré opisovali možnosti NSA a jej partnerských agentúr z Veľkej Británie, Kanady, Austrálie a Nového Zélandu (tzv. Five Eyes Partners).

Získali sme kópiu škodlivého kódu publikovaného denníkom Der Spiegel, a keď sme ho analyzovali, okamžite nám pripomenul Regin," uviedli na blogu výskumníci zo spoločnosti Kaspersky Lab. Keď sme sa na kód pozreli bližšie, došli sme k záveru, že keylogger QWERTY je identický s pluginom 50251 pre Regin."

Výskumníci Kaspersky následne zistili, že QWERTY aj 50251 sú prepojené s rovnakým modulom na platforme Regin kódovo označovanej 50225. Tento komponent umožňuje apendixu bežať v tzv. kerneli operačného systému bez toho, aby to používateľ tušil.

Ako uviedol Kaspersky, ide o silný dôkaz svedčiaci o tom, že QWERTY bol súčasťou platformy Regin. Ak vezmeme do úvahy extrémnu sofistikovanosť platformy Regin a veľmi malú šancu, že by ho niekto mohol duplikovať bez toho, aby mal prístup k jeho zdrojovému kódu, došli sme k záveru, že tvorcovia QWERTY a Regin buď spolupracujú, alebo ide o ten isté osoby."

Podľa denníka Der Spiegel je QWERTY zásuvný modul pre unifikovanú sieť nazvanú WARRIORPRIDE, ktorú využívajú partneri Five Eye. V dokumente, ktorý unikol z Communications Security Establishment Canada (kanadská obdoba NSA), je WARRIORPRIDE opisovaný ako flexibilná platforma určená na prienik do počítačových systémov.

V dokumente ďalej stojí, že WARRIORPRIDE je aj vnútri britskej špionážnej agentúry GCHQ prezývaný ako Daredevil a partneri v rámci Five Eyes k nemu môžu ľubovoľne vytvárať pluginy a prispôsobovať si ho.

Z dostupných informácií vyplýva, že platforma, ktorú bezpečnostné spoločnosti označujú ako Regin, je vlastne to, čo NSA a spol. majú pomenované ako WARRIORPRIDE. To už niektorí iní experti skôr predpokladali.

Podľa Kaspersky Lab bol Regin červ, ktorý infikoval v roku 2013 počítač belgického kryptológa Jeana Quisquatera, pričom tento útok bol spájaný s iným útokom na belgickú telekomunikačnú skupinu Belgacom, medzi ktorej zákazníkov patria Európska komisia, Európsky parlament a Európska rada.

Zdroj: ComputerWorld

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať