Regin: cyberprzest臋pcza platforma pozwalaj膮ca na szpiegowanie sieci GSM

Eksperci z Kaspersky Lab opublikowali wyniki badania kampanii Regin - pierwszej znanej platformy cyberprzest臋pczej, kt贸ra poza "standardowymi" zadaniami szpiegowskimi pozwala na monitorowanie sieci GSM. Osobom stoj膮cym za atakami uda艂o si臋 przenikn膮膰 do sieci komputerowych w przynajmniej 14 krajach.

Najwa偶niejsze informacje

  • Ofiary platformy Regin to przede wszystkim: operatorzy telekomunikacyjni, rz膮dy, instytucje finansowe, organizacje badawcze, mi臋dzynarodowe organy polityczne i wybrane osoby zaanga偶owane w badania po艣wi臋cone matematyce oraz kryptografii.
  • Ofiary kampanii zosta艂y zlokalizowane w Algierii, Afganistanie, Belgii, Brazylii, Fid偶i, Niemczech, Iranie, Indiach, Indonezji, Kiribati, Malezji, Pakistanie, Syrii i Rosji.
  • Platforma Regin sk艂ada si臋 z wielu szkodliwych narz臋dzi pozwalaj膮cych na przenikanie do sieci atakowanych organizacji.
  • Regin u偶ywa skomplikowanej metody komunikacji mi臋dzy zainfekowanymi sieciami a serwerami kontrolowanymi przez cyberprzest臋pc贸w. Metoda ta pozwala m.in. na zdalne sterowanie zainfekowanymi maszynami i ukradkowe przesy艂anie danych.
  • Kampani臋 wyr贸偶nia modu艂 pozwalaj膮cy na monitorowanie stacji bazowych GSM, gromadzenie informacji o kom贸rkach GSM oraz o infrastrukturze sieci kom贸rkowej.
  • W kwietniu 2008 r. atakuj膮cy stoj膮cy za platform膮 Regin zgromadzili uprawnienia administracyjne, pozwalaj膮ce im na manipulowanie sieci膮 GSM w jednym z bliskowschodnich kraj贸w.
  • Najstarsze pr贸bki tworzone w ramach kampanii Regin pochodz膮 z 2003 r.
Wiosn膮 2012 r. eksperci z Kaspersky Lab natkn臋li si臋 na szkodliwy program Regin, kt贸ry wydawa艂 si臋 by膰 cz臋艣ci膮 zaawansowanej kampanii cyberszpiegowskiej. Przez niemal trzy kolejne lata specjali艣ci monitorowali to zagro偶enie na ca艂ym 艣wiecie. Od czasu do czasu pojawia艂y si臋 nowe pr贸bki tego szkodnika, jednak analiza nie wykazywa艂a 偶adnych powi膮za艅 mi臋dzy nimi. Mimo to ekspertom uda艂o si臋 wej艣膰 w posiadanie pr贸bek wykorzystanych w kilku atakach, kt贸rych celem by艂y instytucje rz膮dowe i operatorzy telekomunikacyjni. Informacje te okaza艂y si臋 wystarczaj膮ce do przeprowadzenia szczeg贸艂owej analizy.


Badania wykaza艂y, 偶e Regin nie jest pojedyncz膮 szkodliw膮 aplikacj膮, ale platform膮 - pakietem oprogramowania sk艂adaj膮cym si臋 z wielu modu艂贸w pozwalaj膮cych na infekowanie ca艂ych sieci atakowanych organizacji w celu przej臋cia zdalnej kontroli na wszystkich mo偶liwych poziomach. G艂贸wnym zadaniem cyberprzest臋pc贸w jest gromadzenie poufnych informacji i przeprowadzanie kilku innych rodzaj贸w atak贸w.

Osoby stoj膮ce za platform膮 Regin dopracowa艂y mechanizmy pozwalaj膮ce im kontrolowa膰 zainfekowane sieci. Na przyk艂ad, w jednym z kraj贸w eksperci z Kaspersky Lab zaobserwowali kilka zainfekowanych organizacji, ale tylko sie膰 w jednej z nich komunikowa艂a si臋 z serwerem nadzorowanym przez atakuj膮cych zlokalizowanym w innym kraju. Mimo takiego wybi贸rczego podej艣cia, wszystkie ofiary kampanii w tym regionie by艂y ze sob膮 po艂膮czone sieci膮 P2P (na wz贸r po艂膮czenia VPN) i mog艂y si臋 dowolnie komunikowa膰 mi臋dzy sob膮. Atakuj膮cy wybrali zatem jedn膮 sie膰 do wydawania polece艅, kt贸re nast臋pnie by艂y przesy艂ane do wszystkich zainfekowanych maszyn. Zdaniem badaczy z Kaspersky Lab w艂a艣nie takie podej艣cie pozwoli艂o cyberprzest臋pcom na tak d艂ugotrwa艂e dzia艂anie bez wzbudzania 偶adnych podejrze艅.

Najbardziej oryginaln膮 funkcj膮 platformy Regin jest mo偶liwo艣膰 atakowania sieci GSM. Podczas prowadzenia analizy eksperci z Kaspersky Lab mieli mo偶liwo艣膰 zbadania jednego z kontroler贸w stacji bazowej GSM i z pozyskanych z niego raport贸w aktywno艣ci wynika, 偶e atakuj膮cy mieli mo偶liwo艣膰 kontrolowania kom贸rek GSM w sieci jednego z du偶ych operator贸w. Oznacza to, 偶e cyberprzest臋pcy mogli uzyskiwa膰 dost臋p do informacji o po艂膮czeniach przetwarzanych przez poszczeg贸lne kom贸rki, przekierowywa膰 te rozmowy do innych kom贸rek i przeprowadza膰 inne ofensywne dzia艂ania. Obecnie nie jest znana 偶adna inna operacja cyberszpiegowska, kt贸ra dawa艂aby atakuj膮cym takie mo偶liwo艣ci.

"Mo偶liwo艣膰 monitorowania i kontrolowania sieci GSM jest prawdopodobnie najbardziej nietypowym i interesuj膮cym aspektem platformy Regin. W dzisiejszych czasach jeste艣my zale偶ni od telefonii kom贸rkowej dzia艂aj膮cej w oparciu o przestarza艂e protoko艂y komunikacyjne, kt贸re uwzgl臋dniaj膮 niewiele bezpiecze艅stwa lub wcale go nie uwzgl臋dniaj膮. Poza tym wszystkie sieci GSM posiadaj膮 mechanizmy pozwalaj膮ce organom 艣cigania 艣ledzi膰 podejrzanych. Uzyskanie dost臋pu do takich funkcji daje cyberprzest臋pcom zupe艂nie nowe mo偶liwo艣ci atakowania u偶ytkownik贸w urz膮dze艅 mobilnych", powiedzia艂 Costin Raiu, dyrektor Globalnego Zespo艂u ds. Bada艅 i Analiz (GReAT), Kaspersky Lab.

Szczeg贸艂owy raport z badania platformy Regin jest dost臋pny w j臋zyku angielskim na stronie http://r.kaspersky.pl/regin.

殴ród艂o:
Kaspersky Lab