Regin: одна из самых опасных вредоносных киберплатформ всех времен

Кибершпионская платформа Regin помимо типичных жертв нацелена на ведущих специалистов по криптографии. Кроме того, она поражает базовые станции сотовых сетей GSM

Regin APT Attacks Among the Most Sophisticated Ever Analyzed

Вероятно все, кто имеет хоть какое-нибудь отношение к вопросам информационной безопасности, сейчас говорят о недавно обнаруженной кибершпионской платформе Regin. И все участники обсуждения сходятся в двух вопросах. Первое: это одна из самых сложных и опасных вредоносных платформ, обнаруженных на данный момент. Второе, вытекающее из первого: за созданием столь серьезного зловреда, очевидно, стоит какое-то государство. Какое — пока никто не знает.

Очевидно, у многих организаций, занимающихся безопасностью, уже были заготовлены досье на Regin. После того как в минувшие выходные свой отчет опубликовала компания Symantec, начали появляться альтернативные отчеты с большим количеством подробностей. Разумеется, не стала исключением и «Лаборатория Касперского» — наши эксперты также опубликовали свое исследование.

Судя по результатам изысканий нашей команды GReAT, кибершпионская кампания Regin нацелена на привычный набор жертв, среди них телеком-операторы, правительственные, финансовые и исследовательские организации и отдельные персоны. Из необычного можно отметить то, что на сей раз в список попали ведущие математики и специалисты по криптографии. Основная цель троянца также достаточно стандартная — слежение за файлами и коммуникациями жертв.

А вот что совсем нестандартно — это возможность одного из модулей киберплатформы заражать контроллеры базовых станций сотовых сетей стандарта GSM. Причем зловред умеет не только шпионить за происходящим в зараженной соте, но и, к примеру, перенаправлять звонки с одного номера на другой.

«Все GSM-сети имеют механизмы, которые позволяют правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает шанс злоумышленникам проникать в сеть и осуществлять вредоносные действия»

«Способность проникать в GSM-сети, пожалуй, самый необычный и интересный аспект во всей вредоносной активности Regin. В современном мире мы слишком зависимы от мобильной связи, однако для ее реализации сегодня используются устаревшие коммуникационные протоколы, которые не способны в достаточной мере обеспечить безопасность конечного пользователя, — рассказывает Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». — Все GSM-сети имеют механизмы, которые позволяют правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает шанс злоумышленникам проникать в сеть и осуществлять вредоносные действия».

Вредоносная киберплатформа Regin обладает весьма сложной системой управления. Часть из зараженных компьютеров выполняет роль маршрутизаторов; через них машины других жертв связываются с управляющими серверами, которые были обнаружены в Индии, Бельгии и на Тайване.

Regin APT Attacks Among the Most Sophisticated Ever Analyzed

Особенно интересный случай исследователи обнаружили в одной из ближневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

В целом Regin — это крайне продвинутый троянец, в арсенале которого масса возможностей по слежению и уловок, мешающих его обнаружению. Впрочем, есть и хорошая новость: продукты «Лаборатории Касперского» успешно защищают от Regin, обнаруживая модули этой вредоносной платформы и идентифицируя их как Trojan.Win32.Regin.gen и Rootkit.Win32.Regin.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.