瑞晶(英语:Regin)是美国国家安全局及英国政府通信总部使用的一个复杂恶意软件和黑客工具包,于2014年11月被卡巴斯基实验室、赛门铁克和The Intercept首次公开披露,被称为“最复杂的恶意软件之一”、“国家级病毒”。卡巴斯基实验室表示,该实验室首次发现瑞晶于2012年春季,但其中一些最早的样本可追溯到2003年。
赛门铁克则称,瑞晶使用了隐形技术,可躲避一些反病毒软件的检测,可用于对目标的长期监视活动。
在设计上,瑞晶使用一种“模块化”的方法,允许它加载与攻击目标相定制的功能,从而实现特定的间谍活动,使得瑞晶非常适合针对目标的持久、长期、大规模的监视。这与火焰等其他恶意软件的方法相同,有些功能还与2011年9月发现的Duqu(英语:Duqu)恶意软件类似。其背后的黑客可以通过监视屏幕、远程控制等渠道来定制攻击的方法。瑞晶还可以捕获和传输密码、恢复已经删除的文件、监控网络流量。
但瑞晶也是隐秘的,不会在受感染的系统上存储多个文件;相反,它经过多层加密,使用自己的加密虚拟文件系统,它包含在一个从名称上来看无害的单个文件中,并采用了很少使用的RC5密码的变体加密。
赛门铁克表示,这款恶意程序有五个阶段,它只在执行完第一阶段后才会执行下一阶段,每一个阶段“都非常隐蔽和加密,除了第一阶段”。还称瑞晶的每一阶段所能提供的有关完整程序包的信息都非常有限,只有拦截了全部五个阶段,才有可能分析和理解具体的威胁。
赛门铁克表示,它和卡巴斯基都将恶意软件定义为Backdoor.Regin。Backdoor即中文中的“后门”。卡巴斯基和赛门铁克都发布了白皮书,其中包含了解恶意软件的相关信息。
德国新闻杂志《明镜》在2013年6月报道称,美国国家安全局对欧盟的公民和机构进行了在线监控。这些信息来自前国家安全局工作人员爱德华·斯诺登获得的秘密文件,他在2013年6月揭露了美国从2007年开始的棱镜计划,并完整曝光了与瑞晶相关的US-984XN监控计划。该计划年度预算为2000万美金,可监控从手机通讯到网络通讯的各种通讯方式,且由美国国家安全局直接介入。
The Intercept报道称,2013年时英国政府通信总部袭击了比利时最大的电信公司Belgacom。这些攻击可能导致瑞晶引起安全公司的注意。根据IT安全公司Fox IT的分析,Regin是英国和美国情报机构的工具。Fox IT在其客户的计算机上找到了Regin,根据他们的分析,Regin的部分在NSA ANT目录(英语:NSA ANT_catalog)提及,名称为“Straitbizarre”和“Unitedrake”。《明镜》则称Fox IT的客户是Belgacom。
在瑞晶全球感染的计算机中,28%在俄罗斯,24%在沙特阿拉伯,9%在墨西哥和爱尔兰,5%在印度、阿富汗、伊朗、比利时、奥地利和巴基斯坦。
过去六年里,Regin已在对世界多个目标进行攻击。目前被发现的来自瑞晶的攻击,近半都是针对互联网服务供应商、电信运营商等价值高的企业的顾客。瑞晶的攻击领域还包括能源、航空、研究部门、医院等。但攻击范围并不仅限于这些高价值的目标,近半感染设备来自小企业和普通民众。
2014年12月,德国报纸《图片报》报道,瑞晶在安格拉·默克尔的一名工作人员使用的USB闪存驱动器上被发现。德国总理府的所有高安全性笔记本电脑的检查显示没有其他感染。
