Tények röviden:
- A fenyegetés fő áldozatai telekommunikációs cégek, kormányok, pénzügyi intézmények, kutatási szervezetek, nemzetközi politikai szervezetek, valamint a fejlett matematikai/kriptográfiai kutatásokban résztvevő személyek.
- Az áldozatok Algériában, Afganisztánban, Belgiumban, Brazíliában, a Fidzsi-szigeteken, Németországban, Iránban, Indonéziában, Kiribatiban, Malajziában, Pakisztánban, Szíriában és Oroszországban találhatók.
- A Regin platform több rosszindulatú eszközből áll, amelyek képesek ellenőrzésük alá vonni egy megtámadott szervezet teljes hálózatát. A platform egy rendkívül bonyolult kommunikációs módszert használ a megfertőzött hálózat, valamint a parancs és vezérlő szerverek közötti kapcsolattartásra, lehetővé téve a távolról történő vezérlést és a rejtett adatátvitelt.
- Az egyik Regin modul képes monitorozni a GSM bázisállomások vezérlőit, valamint adatokat gyűjteni a GSM cellákról és a hálózati infrastruktúráról.
- 2008 áprilisában a támadók adminisztrátori bejelentkezési adatokat szereztek, melyek segítségével manipulálni tudtak egy GSM hálózatot a Közel-Keleten.
- A Regin legrégebbi mintáit még 2003-ban készítették.
A Kaspersky Lab kutatói 2012 tavaszán szereztek először tudomást a Regin malware-ről, amely egy fejlett kémkedési kampányhoz tartozott. A vállalat szakértői három éven keresztül követték nyomon világszerte a malware-t, amelynek időről időre fennakadtak a mintái különféle többszkenneres szolgáltatásokon, de ezek nem kapcsolódtak egymáshoz, és rejtélyes volt a funkcionalitásuk. A Kaspersky Lab szakértőinek azonban sikerült megszerezniük olyan mintákat, amelyek több valódi támadásban vettek részt, többek között kormányzati intézmények, valamint telekom szolgáltatók ellen, és ezek elegendő információt szolgáltattak a fenyegetés behatóbb tanulmányozásához.
A kutatás megállapította, hogy a Regin nem egy egyedülálló rosszindulatú program, hanem egy platform – egy több modulból álló szoftvercsomag, amely képes megfertőzni a megcélzott szervezet teljes hálózatát annak érdekében, hogy minden lehetséges szinten teljes távoli vezérlést szerezzen. A Regin célja bizalmas információk gyűjtése a megtámadott hálózatokból és számos más típusú támadás végrehajtása.
A Regin platform mögött álló szereplő fejlett módszerekkel rendelkezik a megfertőzött hálózatok irányításához. Az egyik érintett országban a Kaspersky Lab szakértői több megtámadott szervezetet fedeztek fel, de közülük csak egynek a hálózatát programozták át úgy, hogy kommunikáljon a Regin egy másik országban lévő parancs és vezérlő szerverével.
Ugyanakkor a régió összes Regin-áldozatát egy VPN jellegű peer-to-peer hálózatba kötötték, így ezen keresztül tudnak kommunikálni egymással. Ily módon a támadók az ellenőrzésük alá vont szervezeteket egyetlen, hatalmas áldozattá egyesítették, melynek révén egyetlen belépési ponton keresztül tudnak parancsokat küldeni és információt eltulajdonítani. A Kaspersky Lab kutatása szerint ez a struktúra tette lehetővé, hogy a fenyegetés éveken keresztül észrevétlenül működjön.
A Regin platform legeredetibb és legérdekesebb funkciója azonban az, hogy képes megtámadni a GSM hálózatokat. A Kaspersky Lab kutatói a vizsgálat során megszerezték egy GSM bázisállomás tevékenységnaplóját. E szerint a támadók képesek voltak megszerezni olyan bejelentkezési adatokat, amelyek birtokában ellenőrzésük alá vonták egy nagy mobilszolgáltató hálózatának GSM celláit. Ez azt jelenti, hogy hozzáférhettek arra vonatkozó információkhoz, hogy egy adott cella mely hívásokat kezeli, ezeket a hívásokat átirányíthatták más cellákhoz, és további támadó jellegű műveleteket hajthattak végre. Jelenlegi ismereteink szerint csak a Regin mögött álló támadók voltak valaha is képesek ilyen műveletekre.
„Ezeknek a műveleteknek talán a leginkább érdekes, nem mindennapi vonatkozása a GSM hálózatokba való behatolás képessége. Mai világunkban túlságosan is függünk a mobiltelefon hálózatoktól, amelyek régi kommunikációs protokollokon alapulnak, és alig vagy egyáltalán nem nyújtanak védelmet a végfelhasználók számára. Az összes GSM hálózat tartalmaz olyan mechanizmusokat, melyek révén az erre jogosult hatóságok nyomon követhetnek gyanúsítottakat, azonban ezeket illetéktelenek is felhasználhatják arra, hogy különféle támadásokat indítsanak a mobilhasználók ellen." - mondta Costin Raiu, a Kaspersky Lab Globális Kutató és Elemző Csapatának igazgatója.