Regin tiek uzskatīta par vismodernāko ļaunprogrammatūru saimi, ko jebkad ir izstrādājis nacionālās valsts dalībnieks, un to ir izstrādājusi NSA un kopīgojusi ar dažiem tās Five Eyes partneriem (galvenokārt ar GCHQ). Tā esamība ir bijusi Publiski tika atklāts 2014, taču agrākie paraugi ir datēti ar 2011. gadu, ar dažām aizdomām, ka ļaunprogrammatūra tika izveidota jau 2003. gadā.
Ir zināmi gadījumi, kad Regin ir ticis izvietots savvaļā Beļģijas telekomunikāciju uzņēmums Belgacom, pret Vācijas valdību, un jaunākais gadījums, Krievijas meklēšanas gigants Yandex.
Tehniskajā līmenī drošības pētnieki Regin uzskata par līdz šim vismodernāko ļaunprātīgas programmatūras sistēmu moduļi desmitiem funkciju, no kuriem lielākā daļa ir paredzēti novērošanas darbībām un paliek neatklāti inficētajās vietās saimnieki.
Kad tas tika atklāts 2012. gadā, drošības pētnieki precīzi neizmantoja terminu "ļaunprātīga programmatūra", lai aprakstītu Flame. Tajā laikā Flame bija tik attīstīts, ka viņi izmantoja terminu "
uzbrukuma rīku komplekts", lai aprakstītu tās struktūru, kas nedaudz atgādina savu lielo brāli Reginu.Tāpat kā iepriekšminētais, Flame ir moduļu kolekcija, kas darbojas papildus Flame ietvaram un tiek izvietoti, pamatojoties uz operatoriem nepieciešamajām funkcijām.
To 2012. gadā atklāja Irānas Nacionālās CERT centrs MAHER uzbrukumos valsts valdības aģentūrām. Atklājums notika divus gadus pēc Stuxnet ļaunprātīgas programmatūras uzbrukumiem, un tas tika ātri saistīts ar Equation Group, ASV NSA koda nosaukumu. Vēlāk tas tika atklāts uzbrukumos arī citām Tuvo Austrumu valdībām. Pašlaik Liesmas Wikipedia lapa satur labāko visu ar liesmu saistīto atklājumu kopsavilkumu.
Stuxnet ir vienīgā ļaunprogrammatūra šajā sarakstā ar tās savu dokumentālo filmu.
Ļaunprātīga programmatūra tika kopīgi izstrādāta 2000. gados, kopīgiem spēkiem sadarbojoties ASV NSA un Izraēlas 8200. vienībai, Izraēlas militārās kiberdivīzijas nodaļai. Tas tika izvietots 2010. gadā Irānā kā daļa no abu valstu kopīgiem centieniem sabotēt Irānas kodolprogrammu.
Stuxnet, kas, domājams, izmantoja četras dažādas nulles dienas, kad tas tika izlaists, bija īpaši kodēts, lai tas būtu paredzēts rūpnieciskajām vadības sistēmām. Tās uzdevums bija mainīt kodola bagātināšanas operācijās izmantoto centrifūgu iestatījumus, paaugstinot un pazeminot rotora ātrumu, lai izraisītu vibrācijas un iznīcinātu iekārtas.
Ļaunprātīga programmatūra bija veiksmīga, un tiek ziņots, ka tā ir inficējusi vairāk nekā 200 000 datoru un galu galā iznīcināja gandrīz 1000 centrifūgu Irānas Natanzas kodolobjektā.
Pirmā ārpus ASV izstrādātā ļaunprogrammatūra šajā sarakstā ir Shamoon, ļaunprogrammatūras celms, ko izstrādājuši Irānas valsts hakeri. Tas bija pirmo reizi tika izvietots 2012 Saūda Arābijas lielākā naftas ražotāja Saudi Aramco tīklā. Ļaunprātīga programmatūra, datu tīrītājs, 2012. gada uzbrukumā iznīcināja vairāk nekā 30 000 datoru.
Tas tika izvietots Otrais uzbrukums 2016, pret to pašu mērķi. Pavisam nesen tas tika izvietots pret Itālijas naftas un gāzes darbuzņēmēju Saipem, it kā iznīcinot 10% no uzņēmuma personālo datoru parka.
Jaunāks šī saraksta papildinājums ir Tritons (pazīstams arī kā Trisis). Tiek uzskatīts, ka šī ļaunprogrammatūra ir bijusi izstrādājusi Krievijas pētniecības laboratorija.
Tas tika izvietots 2017. gadā. Tas bija īpaši izstrādāts mijiedarboties ar Schneider Electric Triconex Safety Instrumented System (SIS) kontrolieriem. Saskaņā ar tehniskajiem ziņojumiem no FireEye, Dragoss, un Symantec, Triton tika izstrādāts, lai vai nu apturētu ražošanas procesu, vai ļautu TriconSIS kontrolētajām mašīnām darboties nedrošā stāvoklī. Ļaunprātīgās programmatūras kods noplūda, un galu galā tas arī tika atklāts publicēts vietnē GitHub.
Industroyer ļaunprātīga programmatūra, kas pazīstams arī kā Crashoverride, ir ļaunprātīgas programmatūras sistēma, ko izstrādājuši Krievijas valsts hakeri un kas tika izvietota 2016. gada decembrī kiberuzbrukumos Ukrainas elektrotīklam.
Uzbrukums bija veiksmīgs, un uz stundu tika pārtraukta elektrība daļai Ukrainas galvaspilsētas Kijevas. Ļaunprātīgā programmatūra tiek uzskatīta par iepriekšējo paveidu, piemēram, Havex un BlackEnergy, attīstību, kas tika izmantota arī uzbrukumos Ukrainas elektrotīklam. Tomēr atšķirībā no Havex un BlackEnergy, kas vairāk līdzinājās vispārējai Windows ļaunprātīgai programmatūrai, kas tika izvietota pret sistēmām, kas pārvalda rūpnieciskās sistēmas, Rūpniecības darbinieks satur komponentus, kas īpaši izstrādāti mijiedarbībai ar Siemens elektrotīkla aprīkojumu.
Tiek uzskatīts, ka tā ir Izraēlas bēdīgi slavenās militārās kibervienības Unit 8200 izveide, Duqu Ungārijas drošības pētnieki atklāja 2011. gadā. Otrā versija tika atklāta 2015. gadā, un tai tika piešķirts kodētais nosaukums Duqu 2.0.
Pirmā versija tika izvietota, lai palīdzētu Stuxnet uzbrukumiem, bet otrā tika izmantota, lai kompromitētu Krievijas antivīrusu firmas Kaspersky Lab tīklu. Duqu 2.0 tika atrasts arī datori viesnīcās Austrijā un Šveicē kur notika starptautiskās sarunas starp ASV/ES un Irānu par tās kodolprogrammu un ekonomiskajām sankcijām.
PlugX ir attālās piekļuves Trojas zirgs (RAT), kas pirmo reizi tika novērots 2012. gadā uzbrukumos, kas tika attiecināti uz Ķīnas nacionālo valstu hakeriem. Šķiet, ka kopš tās atklāšanas ķīniešu hakeri ir kopīgojuši ļaunprogrammatūru savā starpā, un tagad tā ir to plaši izmanto lielākā daļa Ķīnas nacionālo valstu grupu, padarot neticami attiecināšanu uz vienu grupu grūti. A labs tehniskais ziņojums par PlugX ir pieejams šeit.
Uroburos bija sakņu komplekts, ko izstrādāja bēdīgi slavenā Turla grupa, viena no pasaulē attīstītākajām nacionālo valstu hakeru grupām, kas saistīta ar Krievijas valdību.
Saskaņā ar G DATA ziņojumu, "rootkit spēj pārņemt kontroli pār inficētu mašīnu, izpildīt patvaļīgas komandas un paslēpt sistēmas darbības."
Uroburos (saukts arī par Turla vai Snake saknes komplektu) tika plaši izmantots un bija ļoti efektīvs ierobežotajam mērķim, kuram tas tika izmantots — lai iegūtu sāknēšanas noturību un lejupielādētu citus ļaunprātīgas programmatūras celmus.
Tā bija galvenā Turla APT uzbrukumu daļa, un tā tika novērota inficētos datoros Eiropā, ASV un Tuvajos Austrumos, jau 2008. gadā. Mērķi parasti bija valsts iestādes. Tas bija redzams 45 valstīs. Linux variants tika atklāts arī 2014. gadā.
Vēl viena ķīniešu ļaunprogrammatūra, ko kādreiz izmantoja viena grupa, bet vēlāk to kopīgoja un atkārtoti izmantoja citi.
ICEFOG, kas pirmo reizi tika pamanīts 2013. gadā, pēdējo divu gadu laikā ir atgriezies ar jauniem variantiem un pat Mac versiju. Vairāk par to mūsu nesenajā pārskatā.
Vienīgā mobilā ļaunprogrammatūra šajā sarakstā, WARRIOR PRIDE ir rīks, ko kopīgi izstrādājuši ASV NSA un Apvienotās Karalistes GCHQ. Tas darbojas gan Android, gan iPhone tālruņos, un ziņas par tā esamību parādījās 2014. gadā, Snoudena informācijas noplūžu laikā.
Runājot par iespējām, iPhone variants bija daudz progresīvāks nekā Android. Tas varētu izgūt jebkādu saturu no inficētiem saimniekiem, klausīties tuvumā esošās sarunas, klusi iespējojot mikrofonu, un varētu darboties pat tad, ja tālrunis ir miega režīmā.
Olimpiskā iznīcinātāja ļaunprogrammatūra tika izmantots uzbrukumā, kas sabojāja interneta savienojumus 2018. gada Phjončhanas ziemas olimpisko spēļu atklāšanas ceremonijas laikā. Uzbrukums visvairāk skāra televīzijas stacijas un žurnālistus.
Ļaunprātīgo programmatūru, domājams, izveidoja Krievijas hakeri, un tā tika izvietota kā atmaksa Starptautiskajai Olimpiskajai komitejai aizliegt Krievijas sportistiem piedalīties ziemas olimpiskajās spēlēs, pamatojoties uz apsūdzībām par dopingu vai aizliegt dažiem startēt saskaņā ar Krievijas karogs.
Pati ļaunprogrammatūra bija informācijas zaglis, kas inficētajās sistēmās izmeta lietotņu paroles, kuras vēlāk izmantoja hakeri, lai eskalētu savas piekļuvi citām sistēmām, no kurienes tās vēlāk izraisīja datu dzēšanas uzbrukumu, kas sagrāva dažus serverus un maršrutētāji. Jaunas Olympic Destroyer versijas tika pamanīti 2018. gada jūnijā, mēnešus pēc sākotnējiem uzbrukumiem.
Vienīgā APT izstrādātā ļaunprogrammatūra šajā sarakstā, kas izveidota, lai inficētu maršrutētājus, ir VPN filtrs. Ļaunprātīgā programmatūra, ko izstrādājuši Krievijas valsts hakeri, tika izvietota pirms 2018. čempionu līga fināls, kas notika Kijevā, Ukrainā.
Domājams, ka tiešraides fināla tiešraides laikā bija paredzēts izvietot ļaunprātīgu programmatūru un sabojāt maršrutētājus, līdzīgi kā Ļaunprātīga programmatūra Olympic Destroyer tika izmantota, lai sabojātu interneta savienojumus Phjončhanas 2018. gada ziemas atklāšanas ceremonijā. Olimpiskās spēles.
Par laimi, drošības pētnieki no Cisco Talos redzēja VPNFilter robottīkla salikšanu, un noņēma to ar FIB palīdzību. Saskaņā ar FIB informāciju, ļaunprogrammatūru, domājams, izveidoja Fancy Bear APT.
Visi trīs 2017. gada izspiedējvīrusu uzliesmojumi bija ļaunprogrammatūras celmi, ko izstrādājuši nacionālo valstu hakeri, lai gan dažādu iemeslu dēļ.
Pirmais no tiem, WannaCry izpirkuma programmatūra, bija ko izstrādājuši Ziemeļkorejas valsts hakeri, ar vienīgo mērķi inficēt upurus un iekasēt izpirkuma maksu par Phenjanas režīmu, kuram tajā laikā tika piemērotas smagas ekonomiskas sankcijas. Lai mazinātu šo sankciju ietekmi, režīms izmantoja valsts hakerus, lai aplaupītu bankas, iegūtu kriptovalūtu vai veiktu izspiedējvīrusu operācijas, lai savāktu līdzekļus.
Tomēr kļūdas WannaCry kodā padarīja to tā, ka tā vietā, lai izplatītos tikai vietējos tīklos, izspiedējprogrammatūra iekšējais pašreplicējošais (tārpu) komponents sabojājās un inficēja visu, kas bija redzams, izraisot globālu uzliesmojums.
Divus mēnešus pēc WannaCry pasauli skāra otrais izspiedējvīrusa uzliesmojums. Zvanīja Nav Petja, šī izpirkuma programmatūra bija kodē Krievijas Fancy Bear (APT28) grupa, un sākotnēji tika izvietots tikai Ukrainā.
Tomēr koplietojamo tīklu un uzņēmumu VPN dēļ izspiedējvīruss izplatījās visā pasaulē, līdzīgi kā WannaCry, radot miljardu zaudējumus. Tāpat kā WannaCry, arī NotPetya izmantoja EternalBlue kā galveno tārpa komponenta daļu. (skatiet pēdējo slaidu, lai iegūtu vairāk informācijas par EternalBlue)
Pēdējais globālais ransomware uzliesmojums 2017. gadā arī bija valsts hakeru darbs. Tāpat kā NotPetya, Slikts Trusis bija krievu hakeru darbs, kurš to līdzīgi izvietoja Ukrainā, taču izspiedējvīruss izplatījās visā pasaulē, lai gan ar mazāku ietekmi, salīdzinot ar pirmajiem diviem, WannaCry un NotPetya.
Atšķirībā no NotPetya, tajā kā primārais izplatīšanas mehānisms netika izmantots EternalBlue, un tajā bija iekļautas arī daudzas Troņu spēles atsauces.
Iespējams, ka EnternalBlue pati par sevi nav ļaunprātīga programmatūra šī vārda klasiskajā nozīmē, jo tā ir vairāk ļaunprātīga izmantošana, taču to joprojām izstrādāja nacionālās valsts vienība, un tai vajadzētu iekļauties šajā sarakstā. To izveidoja NSA un kļuva publiski pieejams 2017. gada aprīlī, kad noslēpumainu hakeru grupa, kas pazīstama kā The Shadow Brokers, publicēja kodu tiešsaistē.
Pēc izlaišanas tas pirmo reizi tika izmantots kriptovalūtas ieguves kampaņās, taču tas patiesi kļuva par plaši pazīstamu un atpazīstams termins pēc tam, kad tas tika iestrādāts trīs 2017. gada izspiedējvīrusu uzliesmojumu kodā, proti, WannaCry, NetPetya, un Bad Rabbit.
Kopš tā laika, EternalBlue ir atteicies mirt un to plaši izmanto visa veida kibernoziedzīgās operācijās, visi, kas to izmanto kā mehānismu izplatīšanās uz citām sistēmām apdraudētos tīklos, izmantojot nepareizi konfigurētus SMBv1 klientus sistēmā Windows datori.