Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport de cercetare despre Regin, prima platforma de atac cibernetic care permite atacatorilor sa acceseaze si monitorizeaze retelele GSM, in plus fata de alte activitati de spionaj cibernetic.
Atacatorii din spatele lui Regin au compromis retele de calculatoare din cel putin 14 tari diferite.
• Principalele victime ale operatiunii Regin sunt: operatori de telecomunicatii, institutii guvernamentale si financiare, organizatii de cercetare, organizatii politice multinationale si utilizatori individuali implicati in cercetare matematica/criptografica avansata.
• Victime au fost localizate in Algeria, Afghanistan, Belgia, Brazilia, Fiji, Germania, Iran, India, Indonezia, Kiribati, Malaysia, Pakistan, Siria si Rusia.
• Platforma Regin consta in multiple instrumente periculoase care pot compromite o intreaga retea organizationala. Platforma Regin utilizeaza o metoda de comunicare complexa intre retelele infectate si serverele de comanda si control, permitand controlul la distanta si transmiterea datelor pe ascuns.
• Un modul Regin poate monitoriza sistemele de control ale celulelor GSM, colectand date despre celulele GSM si infrastructura retelei.
• In aprilie 2008, atacatorii au colectat informatii administrative care le-au permis sa manipuleze cel putin o retea GSM dintr-o tara din Orientul Mijlociu.
• Unele mostre Regin par sa fi fost create inca din 2003.
In primavara anului 2012, expertii Kaspersky Lab au initiat analiza malware-ul Regin care parea sa fie instrumentul unei campanii sofisticate de spionaj cibernetic. Expertii Kaspersky Lab au urmarit acest malware pe o perioada de aproape trei ani consecutivi.
Din cand in cand, expertii Kaspesky Lab descopereau mostre fara o legatura pe mai multe servicii publice de scanare, cu o functionalitate obscura si fara un context specific. Totusi, expertii Kaspersky Lab au obtinut si cateva mostre utilizate in atacuri reale, inclusiv in atacurile impotriva institutiilor guvernamentale si a operatorilor telecom, descoperind suficiente informatii pentru a putea analiza aceasta amenintare in detaliu.
Studiul aprofundat a aratat ca Regin nu este doar un program periculos, ci o platforma – un pachet software care consta in multiple module ce pot infecta retelele organizatiilor vizate, cu scopul de a obtine control de la distanta pe toate nivelele posibile. Atacatorii din spatele Regin urmaresc sa colecteze date confidentiale din retelele atacate.
Actorul din spatele platformei Regin are o metoda bine dezvoltata pentru controlul retelelor infectate. Expertii Kaspersky Lab au descoperit cateva organizatii compromise intr-o tara, insa doar una dintre acestea era programata sa comunice cu serverul de comanda si control localizat intr-o alta tara.
Totusi, toate victimele Regin fac parte dintr-o retea VPN de tip peer-to-peer, acestea fiind capabile sa comunice intre ele. Astfel, atacatorii au transformat toate organizatiile compromise intr-o singura entitate, avand posibilitatea sa trimita comenzi si sa sustraga informatii prin intermediul unui singur punct de acces. Conform rezultatelor descoperite de expertii Kaspersky Lab, aceasta structura le-a permis atacatorilor sa opereze in tacere timp de mai multi ani, fara a crea suspiciuni.
O caracteristica originala si interesanta a platformei Regin este capacitatea acesteia de a ataca retelele GSM. Conform unor informatii logate pe sistemul de control al celulelor GSM obtinute de expertii Kaspersky Lab in timpul investigatiei, atacatorii puteau accesa date care le permiteau sa controleze celulele GSM din reteaua unui operator de telecomunicatii important. Acest lucru inseamna ca atacatorii aveau acces la informatiile despre apelurile procesate de o anumita celula, si erau capabili sa redirectioneze aceste apeluri catre alte celule, sau sa activeze celule vecine. In prezent, conform descoperirilor, atacatorii din spatele Regin sunt singurii atacatori capabili de astfel de operatiuni.
„Capacitatea de a accesa si monitoriza retelele GSM este poate cel mai neobisnuit si interesant aspect al acestor operatiuni,” a declarat Costin Raiu, Director of Global Research and Analysis Team la Kaspersky Lab. „Am devenit prea dependenti de retelele de telefonie mobila, iar acestea utilizeaza protocoale de comunicare invechite, care nu ofera securitate adecvata utilizatorului final. Desi retelele GSM au mecanisme integrate care permit entitatilor precum organizatiile de aplicare a legii sa identifice suspectii, infractorii cibernetici se pot folosi de aceaste mecanisme pentru a lansa diferite atacuri asupra utilizatorilor de telefoane mobila,” a explicat Costin Raiu.