Először 2012 tavaszán szereztek tudomást a kutatók a Regin malware-ről, amely egy fejlett kémkedési kampányhoz tartozott. A vállalat szakértői három éven keresztül követték nyomon világszerte a malware-t, melynek időről időre fennakadtak a mintái különféle többszkenneres szolgáltatásokon, de ezek nem kapcsolódtak egymáshoz, és rejtélyes volt a funkcionalitásuk. Sikerült megszerezni olyan mintákat, amelyek több valódi támadásban vettek részt, többek között kormányzati intézmények, valamint telekom-szolgáltatók ellen, és ezek elegendő információt szolgáltattak a fenyegetés behatóbb tanulmányozásához.

A kutatás megállapította, hogy a Regin nem egy egyedülálló rosszindulatú program, hanem egy platform – egy több modulból álló szoftvercsomag -, amely képes megfertőzni a megcélzott szervezet teljes hálózatát annak érdekében, hogy minden lehetséges szinten teljes távoli vezérlést szerezzen. A Regin célja bizalmas információk gyĹąjtése a megtámadott hálózatokból és számos más típusú támadás végrehajtása.

A Regin platform mögött álló szereplő fejlett módszerekkel rendelkezik a megfertőzött hálózatok irányításához. Az egyik érintett országban a szakértők több megtámadott szervezetet fedeztek fel, de közülük csak egynek a hálózatát programozták át úgy, hogy kommunikáljon a Regin egy másik országban lévő parancs- és vezérlőszerverével.

Mindeközben a régió összes Regin-áldozatát egy VPN jellegĹą peer-to-peer hálózatba kötötték, így ezen keresztül tudnak kommunikálni egymással. Ily módon a támadók az ellenőrzésük alá vont szervezeteket egyetlen, hatalmas áldozattá egyesítették, melynek révén egyetlen belépési ponton keresztül tudnak parancsokat küldeni és információt eltulajdonítani. A kutatás szerint ez a struktúra tette lehetővé, hogy a fenyegetés éveken keresztül észrevétlenül mĹąködjön.

A Regin platform legeredetibb és legérdekesebb funkciója azonban az, hogy képes megtámadni a GSM-hálózatokat. A Kaspersky kutatói a vizsgálat során megszerezték egy GSM-bázisállomás tevékenységnaplóját. E szerint a támadók képesek voltak megszerezni olyan bejelentkezési adatokat, amelyek birtokában ellenőrzésük alá vonták egy nagy mobilszolgáltató hálózatának GSM-celláit. Ez azt jelenti, hozzáférhettek arra vonatkozó információkhoz, hogy egy adott cella mely hívásokat kezeli, ezeket a hívásokat átirányíthatták más cellákhoz, és további támadó jellegĹą mĹąveleteket hajthattak végre. Jelenlegi ismereteink szerint csak a Regin mögött álló támadók voltak valaha is képesek ilyen mĹąveletekre.

A Regin platform több rosszindulatú eszközből áll, amelyek képesek ellenőrzésük alá vonni egy megtámadott szervezet teljes hálózatát. A platform egy rendkívül bonyolult kommunikációs módszert használ a megfertőzött hálózat, valamint a parancs és vezérlő szerverek közötti kapcsolattartásra, lehetővé téve a távolról végrehajtható vezérlést és a rejtett adatátvitelt.

 

hirado.hu