Regin szpieguje sieci GSM
2014-11-28 10:57
Ofiary Regin © fot. mat. prasowe
Specjaliści z Kaspersky Lab postanowili przyjrzeć się platformie cyberprzestępczej Regin. Analiza wykazała m.in., że tym, co wyróżnia ją w sposób szczególny jest moduł, który nie tylko pozwala na monitorowanie stacji bazowych GSM, ale umożliwia również zbieranie danych o komórkach GSM oraz o infrastrukturze sieci komórkowej. Cyberprzestępcy stojący za platformą zdołali zaatakować sieci komputerowe w co najmniej czternastu krajach.
Przeczytaj także: Infrastruktura krytyczna łakomym kąskiem dla cybeprzestępców
Najważniejsze fakty
- Podmioty, które padły ofiarą platformy Regin to w przeważającej mierze: operatorzy telekomunikacyjni, rządy, instytucje finansowe, organizacje badawcze, międzynarodowe organy polityczne, a także wybrani badacze zaangażowani w badania dotyczące matematyki oraz kryptografii.
- Działania cyberprzestępców uderzyły w Algierię, Afganistan, Belgię, Brazylię, Fidżi, Niemcy, Iran, Indie, Indonezję, Kiribati, Malezję, Pakistan, Syrię i Rosję.
- Regin to zbiór wielu szkodliwych narzędzi, dzięki którym możliwe jest przeniknięcie do sieci atakowanych organizacji.
- Używana przez Regin metoda komunikacji między zaatakowanymi sieciami a serwerami znajdującymi się pod kontrolą cyberprzestępców jest niezwykle skomplikowana. Zezwala m.in. na zdalne sterowanie zainfekowanymi maszynami i ukradkowe przesyłanie danych.
- Tym, co wyróżnia kampanię jest moduł, dzięki któremu możliwe jest monitorowanie stacji bazowych GSM, gromadzenie informacji o komórkach GSM oraz o infrastrukturze sieci komórkowej.
- W kwietniu 2008 r. atakujący stojący za platformą Regin zgromadzili uprawnienia administracyjne, pozwalające im na manipulowanie siecią GSM w jednym z bliskowschodnich krajów.
- Najstarsze próbki tworzone w ramach kampanii Regin pochodzą z 2003 r.
Wiosną 2012 r. eksperci z Kaspersky Lab natknęli się na szkodliwy program Regin, który wydawał się być częścią zaawansowanej kampanii cyberszpiegowskiej. Przez niemal trzy kolejne lata specjaliści monitorowali to zagrożenie na całym świecie. Od czasu do czasu pojawiały się nowe próbki tego szkodnika, jednak analiza nie wykazywała żadnych powiązań między nimi. Mimo to ekspertom udało się wejść w posiadanie próbek wykorzystanych w kilku atakach, których celem były instytucje rządowe i operatorzy telekomunikacyjni. Informacje te okazały się wystarczające do przeprowadzenia szczegółowej analizy.
fot. mat. prasowe
Ofiary Regin
Wśród ofiar najbardziej narażonych na Regin Rosja, Algieria i Brazylia.
Badania wykazały, że Regin nie jest pojedynczą szkodliwą aplikacją, ale platformą – pakietem oprogramowania składającym się z wielu modułów pozwalających na infekowanie całych sieci atakowanych organizacji w celu przejęcia zdalnej kontroli na wszystkich możliwych poziomach. Głównym zadaniem cyberprzestępców jest gromadzenie poufnych informacji i przeprowadzanie kilku innych rodzajów ataków.
Osoby stojące za platformą Regin dopracowały mechanizmy pozwalające im kontrolować zainfekowane sieci. Na przykład, w jednym z krajów eksperci z Kaspersky Lab zaobserwowali kilka zainfekowanych organizacji, ale tylko sieć w jednej z nich komunikowała się z serwerem nadzorowanym przez atakujących zlokalizowanym w innym kraju. Mimo takiego wybiórczego podejścia, wszystkie ofiary kampanii w tym regionie były ze sobą połączone siecią P2P (na wzór połączenia VPN) i mogły się dowolnie komunikować między sobą. Atakujący wybrali zatem jedną sieć do wydawania poleceń, które następnie były przesyłane do wszystkich zainfekowanych maszyn. Zdaniem badaczy z Kaspersky Lab właśnie takie podejście pozwoliło cyberprzestępcom na tak długotrwałe działanie bez wzbudzania żadnych podejrzeń.
Najbardziej oryginalną funkcją platformy Regin jest możliwość atakowania sieci GSM. Podczas prowadzenia analizy eksperci z Kaspersky Lab mieli możliwość zbadania jednego z kontrolerów stacji bazowej GSM i z pozyskanych z niego raportów aktywności wynika, że atakujący mieli możliwość kontrolowania komórek GSM w sieci jednego z dużych operatorów. Oznacza to, że cyberprzestępcy mogli uzyskiwać dostęp do informacji o połączeniach przetwarzanych przez poszczególne komórki, przekierowywać te rozmowy do innych komórek i przeprowadzać inne ofensywne działania. Obecnie nie jest znana żadna inna operacja cyberszpiegowska, która dawałaby atakującym takie możliwości.
„Możliwość monitorowania i kontrolowania sieci GSM jest prawdopodobnie najbardziej nietypowym i interesującym aspektem platformy Regin. W dzisiejszych czasach jesteśmy zależni od telefonii komórkowej działającej w oparciu o przestarzałe protokoły komunikacyjne, które uwzględniają niewiele bezpieczeństwa lub wcale go nie uwzględniają. Poza tym wszystkie sieci GSM posiadają mechanizmy pozwalające organom ścigania śledzić podejrzanych. Uzyskanie dostępu do takich funkcji daje cyberprzestępcom zupełnie nowe możliwości atakowania użytkowników urządzeń mobilnych”, powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab.
Przeczytaj także:
![Cyberprzestępcy atakują branżę medyczną]( "Cyberprzestępcy atakują branżę medyczną [© Mohammad Usman z Pixabay]")
Cyberprzestępcy atakują branżę medyczną
Cyberprzestępcy atakują branżę medyczną
oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl
Więcej na ten temat:
cyberprzestępczość, cyberprzestępcy, Regin, monitorowanie sieci, sieci GSM, sieci komórkowe
Przeczytaj także
-
![Cyberataki DDoS: Polska celem nr 1]( "Cyberataki DDoS: Polska celem nr 1 [© profit_image - Fotolia.com]")
Cyberataki DDoS: Polska celem nr 1
-
![Poważne ataki na cyberbezpieczeństwo. Jak się chronić?]( "Poważne ataki na cyberbezpieczeństwo. Jak się chronić? [© Andrey Burmakin - Fotolia.com.jpg]")
Poważne ataki na cyberbezpieczeństwo. Jak się chronić?
-
![5 trendów w cyberbezpieczeństwie na 2024 rok]( "5 trendów w cyberbezpieczeństwie na 2024 rok [© Sergei Tokmakov z Pixabay]")
5 trendów w cyberbezpieczeństwie na 2024 rok
-
![Jak nie paść ofiarą ataku zero-click?]( "Jak nie paść ofiarą ataku zero-click? [© Amir Kaljikovic - Fotolia.com]")
Jak nie paść ofiarą ataku zero-click?
-
![2023 był rokiem ransomware]( "2023 był rokiem ransomware [© Florian Roth - Fotolia.com]")
2023 był rokiem ransomware
-
![Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców]( "Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców")
Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców
-
![Czym jest deepfake i jak go rozpoznać?]( "Czym jest deepfake i jak go rozpoznać?")
Czym jest deepfake i jak go rozpoznać?
-
![Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci?]( "Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci? [© pixabay.com]")
Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci?
-
![Fake hacking. Jak się przed nim chronić?]( "Fake hacking. Jak się przed nim chronić?")
Fake hacking. Jak się przed nim chronić?
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]](https://s3.egospodarka.pl/grafika2/majowka/Majowka-2024-moze-byc-tansza-259282-50x33crop.jpg "Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]")
Majówka 2024 może być tańsza
