25 ноября 2014

Regin: одна из самых опасных вредоносных киберплатформ всех времен

Новости Угрозы

Вероятно все, кто имеет хоть какое-нибудь отношение к вопросам информационной безопасности, сейчас говорят о недавно обнаруженной кибершпионской платформе Regin. И все участники обсуждения сходятся в двух вопросах. Первое: это одна из самых сложных и опасных вредоносных платформ, обнаруженных на данный момент. Второе, вытекающее из первого: за созданием столь серьезного зловреда, очевидно, стоит какое-то государство. Какое — пока никто не знает.

Regin APT Attacks Among the Most Sophisticated Ever Analyzed

Очевидно, у многих организаций, занимающихся безопасностью, уже были заготовлены досье на Regin. После того как в минувшие выходные свой отчет опубликовала компания Symantec, начали появляться альтернативные отчеты с большим количеством подробностей. Разумеется, не стала исключением и «Лаборатория Касперского» — наши эксперты также опубликовали свое исследование.

Судя по результатам изысканий нашей команды GReAT, кибершпионская кампания Regin нацелена на привычный набор жертв, среди них телеком-операторы, правительственные, финансовые и исследовательские организации и отдельные персоны. Из необычного можно отметить то, что на сей раз в список попали ведущие математики и специалисты по криптографии. Основная цель троянца также достаточно стандартная — слежение за файлами и коммуникациями жертв.

А вот что совсем нестандартно — это возможность одного из модулей киберплатформы заражать контроллеры базовых станций сотовых сетей стандарта GSM. Причем зловред умеет не только шпионить за происходящим в зараженной соте, но и, к примеру, перенаправлять звонки с одного номера на другой.

«Все GSM-сети имеют механизмы, которые позволяют правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает шанс злоумышленникам проникать в сеть и осуществлять вредоносные действия»

«Способность проникать в GSM-сети, пожалуй, самый необычный и интересный аспект во всей вредоносной активности Regin. В современном мире мы слишком зависимы от мобильной связи, однако для ее реализации сегодня используются устаревшие коммуникационные протоколы, которые не способны в достаточной мере обеспечить безопасность конечного пользователя, — рассказывает Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского». — Все GSM-сети имеют механизмы, которые позволяют правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает шанс злоумышленникам проникать в сеть и осуществлять вредоносные действия».

Вредоносная киберплатформа Regin обладает весьма сложной системой управления. Часть из зараженных компьютеров выполняет роль маршрутизаторов; через них машины других жертв связываются с управляющими серверами, которые были обнаружены в Индии, Бельгии и на Тайване.

Regin APT Attacks Among the Most Sophisticated Ever Analyzed

Особенно интересный случай исследователи обнаружили в одной из ближневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

В целом Regin — это крайне продвинутый троянец, в арсенале которого масса возможностей по слежению и уловок, мешающих его обнаружению. Впрочем, есть и хорошая новость: продукты «Лаборатории Касперского» успешно защищают от Regin, обнаруживая модули этой вредоносной платформы и идентифицируя их как Trojan.Win32.Regin.gen и Rootkit.Win32.Regin.