瑞晶

「Regin」重新導向至此。關於北歐神話中的侏儒，請見「雷金」。

提示：此條目的主題不是瑞金。

瑞晶^{[注 1]}（英語：Regin）是美國國家安全局及英國政府通信總部使用的一個複雜惡意軟件和黑客工具包^[1][2]，於2014年11月被卡巴斯基實驗室、賽門鐵克和The Intercept首次公開披露，^[3][4]被稱為「最複雜的惡意軟件之一」^[5]、「國家級病毒」^[6]。卡巴斯基實驗室表示，該實驗室首次發現瑞晶於2012年春季，但其中一些最早的樣本可追溯到2003年^[7]。

瑞晶

美國國家安全局的徽標
英國政府通信總部的辦公大樓
開發者	美國國家安全局及英國政府通信總部
首次發布	2014年11月 (2014-11)
操作系統	Windows
類型	惡意軟件

賽門鐵克則稱，瑞晶使用了隱形技術，可躲避一些反病毒軟件的檢測，可用於對目標的長期監視活動^[8]。

結構及命名

在設計上，瑞晶使用一種「模塊化」的方法，允許它加載與攻擊目標相定製的功能，從而實現特定的間諜活動，使得瑞晶非常適合針對目標的持久、長期、大規模的監視^[5][9][10]。這與火焰等其他惡意軟件的方法相同，有些功能還與2011年9月發現的Duqu（英語：Duqu）惡意軟件類似^[5]。其背後的黑客可以通過監視屏幕、遠程控制等渠道來定製攻擊的方法^[11]。瑞晶還可以捕獲和傳輸密碼、恢復已經刪除的文件、監控網絡流量^[11]。

但瑞晶也是隱秘的，不會在受感染的系統上存儲多個文件；相反，它經過多層加密，使用自己的加密虛擬文件系統，它包含在一個從名稱上來看無害的單個文件中，並採用了很少使用的RC5密碼的變體加密^[10]。

賽門鐵克表示，這款惡意程序有五個階段，它只在執行完第一階段後才會執行下一階段，每一個階段「都非常隱蔽和加密，除了第一階段」。還稱瑞晶的每一階段所能提供的有關完整程序包的信息都非常有限，只有攔截了全部五個階段，才有可能分析和理解具體的威脅。^[5][11]

賽門鐵克表示，它和卡巴斯基都將惡意軟件定義為Backdoor.Regin。Backdoor即中文中的「後門」。^[6][12]卡巴斯基和賽門鐵克都發布了白皮書，其中包含了解惡意軟件的相關信息。 ^[13][14]

發起者

參見：全球監管披露 (2013年至今)（英語：Global_surveillance_disclosures_(2013–present)）

德國新聞雜誌《明鏡》在2013年6月報道稱，美國國家安全局對歐盟的公民和機構進行了在線監控。這些信息來自前國家安全局工作人員愛德華·斯諾登獲得的秘密文件，他在2013年6月揭露了美國從2007年開始的稜鏡計劃，並完整曝光了與瑞晶相關的US-984XN監控計劃。該計劃年度預算為2000萬美金，可監控從手機通訊到網絡通訊的各種通訊方式，且由美國國家安全局直接介入。^[6]

The Intercept報道稱，2013年時英國政府通信總部襲擊了比利時最大的電信公司Belgacom^[4]。這些攻擊可能導致瑞晶引起安全公司的注意。根據IT安全公司Fox IT的分析，Regin是英國和美國情報機構的工具。Fox IT在其客戶的計算機上找到了Regin，根據他們的分析，Regin的部分在NSA ANT目錄（英語：NSA ANT_catalog）提及，名稱為「Straitbizarre」和「Unitedrake」。《明鏡》則稱Fox IT的客戶是Belgacom。^[1]

影響

在瑞晶全球感染的計算機中，28％在俄羅斯，24％在沙特阿拉伯，9％在墨西哥和愛爾蘭，5％在印度、阿富汗、伊朗、比利時、奧地利和巴基斯坦^[12]。

過去六年裡，Regin已在對世界多個目標進行攻擊。目前被發現的來自瑞晶的攻擊，近半都是針對互聯網服務供應商、電信運營商等價值高的企業的顧客。瑞晶的攻擊領域還包括能源、航空、研究部門、醫院等。但攻擊範圍並不僅限於這些高價值的目標，近半感染設備來自小企業和普通民眾^[11]。

2014年12月，德國報紙《圖片報》報道，瑞晶在安格拉·默克爾的一名工作人員使用的USB閃存驅動器上被發現。德國總理府的所有高安全性筆記本電腦的檢查顯示沒有其他感染。^[15]

參見條目

• 震網