A Kaspersky a Reginről

forrás: Prím Online, 2014. november 27. 11:18

A Kaspersky Lab Globális Kutató és Elemző Csapata közzétette kutatási eredményeit a Reginről, az első olyan kibertámadási platformról, amely képes behatolni a GSM hálózatokba és ott megfigyeléseket végrehajtani. A mögötte álló támadók világszerte legalább 14 országban törtek fel számítógépes hálózatokat.

Tények röviden

 

 

 

 

 

 

 

Az első jelek

 

A Kaspersky Lab kutatói 2012 tavaszán szereztek először tudomást a Regin malware-ről, amely egy fejlett kémkedési kampányhoz tartozott. A vállalat szakértői három éven keresztül követték nyomon világszerte a malware-t, amelynek időről időre fennakadtak a mintái különféle többszkenneres szolgáltatásokon, de ezek nem kapcsolódtak egymáshoz, és rejtélyes volt a funkcionalitásuk. A Kaspersky Lab szakértőinek azonban sikerült megszerezniük olyan mintákat, amelyek több valódi támadásban vettek részt, többek között kormányzati intézmények, valamint telekom szolgáltatók ellen, és ezek elegendő információt szolgáltattak a fenyegetés behatóbb tanulmányozásához.

 

A kutatás megállapította, hogy a Regin nem egy egyedülálló rosszindulatú program, hanem egy platform – egy több modulból álló szoftvercsomag, amely képes megfertőzni a megcélzott szervezet teljes hálózatát annak érdekében, hogy minden lehetséges szinten teljes távoli vezérlést szerezzen. A Regin célja bizalmas információk gyűjtése a megtámadott hálózatokból és számos más típusú támadás végrehajtása.

 

A Regin platform mögött álló szereplő fejlett módszerekkel rendelkezik a megfertőzött hálózatok irányításához. Az egyik érintett országban a Kaspersky Lab szakértői több megtámadott szervezetet fedeztek fel, de közülük csak egynek a hálózatát programozták át úgy, hogy kommunikáljon a Regin egy másik országban lévő parancs és vezérlő szerverével.

 

Ugyanakkor a régió összes Regin áldozatát egy VPN jellegű peer-to-peer hálózatba kötötték, így ezen keresztül tudnak kommunikálni egymással. Ily módon a támadók az ellenőrzésük alá vont szervezeteket egyetlen, hatalmas áldozattá egyesítették, melynek révén egyetlen belépési ponton keresztül tudnak parancsokat küldeni és információt eltulajdonítani. A Kaspersky kutatása szerint ez a struktúra tette lehetővé, hogy a fenyegetés éveken keresztül észrevétlenül működjön.

 

 

A platform legeredetibb és legérdekesebb funkciója azonban az, hogy képes megtámadni a GSM hálózatokat. A Kaspersky Lab kutatói a vizsgálat során megszerezték egy GSM bázisállomás tevékenységnaplóját. E szerint a támadók képesek voltak megszerezni olyan bejelentkezési adatokat, amelyek birtokában ellenőrzésük alá vonták egy nagy mobilszolgáltató hálózatának GSM celláit. Ez azt jelenti, hogy hozzáférhettek arra vonatkozó információkhoz, hogy egy adott cella mely hívásokat kezeli, ezeket a hívásokat átirányíthatták más cellákhoz, és további támadó jellegű műveleteket hajthattak végre. Jelenlegi ismereteink szerint csak a Regin mögött álló támadók voltak valaha is képesek ilyen műveletekre.

 

Costin Raiu, a Kaspersky Lab Globális Kutató és Elemző Csapatának igazgatója szerint ezeknek a műveleteknek talán a leginkább érdekes, nem mindennapi vonatkozása a GSM hálózatokba való behatolás képessége. Mai világunkban túlságosan is függünk a mobiltelefon hálózatoktól, amelyek régi kommunikációs protokollokon alapulnak, és alig vagy egyáltalán nem nyújtanak védelmet a végfelhasználók számára. Az összes GSM hálózat tartalmaz olyan mechanizmusokat, melyek révén az erre jogosult hatóságok nyomon követhetnek gyanúsítottakat, azonban ezeket illetéktelenek is felhasználhatják arra, hogy különféle támadásokat indítsanak a mobilhasználók ellen.