Afgelopen week bleek een groot aantal particuliere, bedrijfs- en overheidscomputers geïnfecteerd met het spionageprogramma Regin. Het is een vorm van malware, die jaren ongemerkt data kon ophalen en zelfs computers overnemen. Hoe werkt zoiets en waarom kwam men het nu pas op het spoor?



Cyber security-bedrijven Symantec en Kaspersky Lab ontdekten het programma en lieten weten dat Regin een zeer geavanceerde programma is, waar duidelijk veel manuren en expertise achter zit. 'De ontwikkeling van dit programma kost een aanzienbare hoeveelheid tijd en geld, waarmee het erop lijkt dat er een overheid achter zit,' aldus Symantec. Onderzoek van website The Intercept liet zien dat Symantec het juist had: documenten van klokkenluider Edward Snowden duiden op het gebruik van Regin door de Amerikanen en Britten.

Regin kon jarenlang op zelfs de best beveiligde computers zitten doordat het lastig op te sporen is. Een 'dropper', een installatieprogrammaatje, zet een eerst pakketje data op de geïnfecteerde computer. Vanaf daar start een kettingreactie van vijf stappen, waarbij de gevolgen van elke stap vrijwel onvindbaar zijn. Een domino-effect, dat bovendien modulair is - de installatie kan gestopt worden na elke stap, zonder dat het hele de installatie ongedaan maakt. Alleen de eerste stap laat zichtbare sporen na. De rest wordt versleuteld en als een binary large object (blob) in het register van het besturingssysteem opgeslagen. Zelfs als iemand weet dat er een vreemd programma op de computer aanwezig is, blijft onduidelijk wát het programma precies doet - data minen - totdat iemand álle onderdelen gevonden heeft.

Die structuur lijkt, zo zegt Symantec, sterk op die van Stuxnet, het virus dat het Iraanse atoomprogramma vertraagde. Stuxnet had echter als doel sogtware te ontregelen, terwijl Regin juist onopgemerkt moet blijven om zo gevoelige data op te vangen. Dat doet Regin door bij de vijfde stap een aantal bestanden in systeemmappen van de computer te zetten. Welke bestanden dat zijn, kan de aanvaller zelf bepalen; waarschijnlijk zijn veel Regin-infecties custom-build voor een bepaald soort gebruiker. In ieder geval kan de malware internetverkeer monitoren, wachtwoorden stelen, gewiste bestanden terughalen, een hele computer doorzoeken, enzovoort. Dit alles zonder dat een geïnfecteerde computer enige kuren vertoond. Daarnaast heeft het de mogelijkheid om het systeem te manipuleren, waarbij het bijvoorbeeld screenshots maakt of toetsaanslagen en muisklikken simuleert.

Regin is, kortom, een programma dat haast onvindbaar is en veel informatie kan winnen uit een geïnfecteerde computer. Waar de overheden het precies voor gebruiken is onduidelijk (de NSA luisterde in ieder geval computers in de EU af). Wel blijkt dat veel van de geïnfecteerde computers, bijna de helft, van particulieren en kleine bedrijven zijn, waaruit blijkt dat de Amerikanen en Britten het niet alleen gebruikten om andere overheden in de gaten te houden.