G DATA publiceert tool tegen spyware Regin

Regin was vorige week volop in het IT-nieuws. Regin is een vorm van spyware die vooral ingezet wordt om ondernemingen, researchers en overheidsinstellingen te bespioneren. G Data lanceert een tool waarmee bestanden die door Rein zijn aangemaakt kunnen worden geïdentificeerd. Het script kan in combinatie met iedere beveiligingssoftware worden gebruikt, zonder conflicten op te leveren.

De beveiligingsspecialisten van het Duitse G DATA concluderen na analyse van de Regin-spyware dat deze in elk geval sinds maart 2009 wordt gebruikt. Spyware Regin is ontwikkeld om hoogsensitieve en geheime informatie van high-potential netwerken zoals overheidsinstellingen, intelligentiediensten of grote ondernemingen en om de doelwitten te monitoren. Tot op heden is van 18 landen bekend dat zij door Regin zijn aangevallen, waaronder België, Duitsland, Rusland, Syrië en India.

‘Zeer geavanceerde spyware’

Volgens de analisten van G DATA is Regin even gevaarlijk als eerder ontdekten spyware als Uroburos, Stuxnet of Duqu. “Regin is een complex en hooggesofisticeerd stuk spyware dat de aanvaller de mogelijk geeft om volledige toegang tot het netwerk te krijgen en precies te monitoren wat er op dat netwerk staat en gebeurt,” legt Eddy Willems, G DATA’s Security Evangelist uit. “We vermoeden dat deze malware geschreven is door de geheime dienst van een overheid, want de ontwikkeling en implementatie van dergelijk malware kost veel tijd en geld.”

Het G DATA SecurityLab heeft als antwoord op Regin een script ontwikkeld dat bestanden kan detecteren die door Regin worden gebruikt op geïnfecteerde systemen. Het script detecteert virtuele bestandsystemen die door Regin worden aangemaakt en slaat alarm. Voor de executie van het script is versie 2 van het Python-programma vereist. Het script is specifiek ontwikkeld voor IT-managers en experts.