VIRUSDEFINITION
Virustype: Malware/avanceret, vedvarende trussel (APT)
Hvad er Regin?
Regin er en cyberangrebsplatform, som, ud over andre "standard"spionopgaver, kan overvåge GSM-netværk.
Kort sagt: Regin er en cyberangrebsplatform, som angriberne implementerer i offerets netværk for ultimativ fjernstyring på alle mulige niveauer. Med en platform, som er ekstremt modulær af natur, har den flere trin til at udføre forskellige dele af angrebet.
Malwaren kan indsamle keylogs, lave screenshots, stjæle enhver fil fra systemet, udtrække e-mails fra Microsoft Exchange-servere og alle data fra netværkstrafik.
Derudover kan angriberne kompromittere GSM Base Station Controllers, som er computere, der styrer GSM-infrastrukturen. Dette gør dem i stand til at styre GSM-netværk og starte andre former for angreb, herunder aflytning af telefonsamtaler og sms'er.
Hvordan adskiller dette sig fra andre APT-angreb?
Det er et af de mest sofistikerede angreb, vi nogensinde har observeret. Fra nogle synspunkter minder platformen os om en anden avanceret malware: Turla. Nogle ligheder omfatter brugen af virtuelle filsystemer og implementering af kommunikationsdroner til at broforbinde netværk. Men via deres implementering, kodningsmetoder, plugins, skjulningsteknikker og fleksibilitet overgår Regin Turla som en af de mest sofistikerede angrebsplatforme, vi nogensinde har analyseret. Denne gruppes evne til at penetrere og overvåge GSM-netværk er måske det mest usædvanlige og interessante aspekt ved disse operationer.
Hvem er ofrene? / Hvad kan man sige om målene for angrebene?
Ofrene for Regin kan inddeles i følgende grupper:
- Teleoperatører
- Regeringsinstitutioner
- Multinationale politiske organer
- Finansielle institutioner
- Forskningsinstitutioner
- Personer, der er involveret i avanceret matematisk/kryptografisk forskning
Indtil videre har vi observeret to hovedmål fra angriberne:
- Efterretningsvirksomhed
- Iværksættelse af andre typer angreb
Indtil videre har Regin-ofrene befundet sig i 14 lande:
- Algeriet
- Afghanistan
- Belgien
- Brasilien
- Fiji
- Tyskland
- Iran
- Indien
- Indonesien
- Kiribati
- Malaysia
- Pakistan
- Rusland
- Syrien
I alt har vi opsporet 27 forskellige ofre, selv om det skal påpeges, at definitionen af et offer her refererer til en hel enhed, herunder hele dens netværk. Antallet af unikke pc'er, der er inficeret med Regin, er naturligvis meget, meget højere.
Er dette et angreb, der er sponsoreret af en nationalstat?
I betragtning af kompleksiteten af og omkostningerne ved udviklingen af Regin er det sandsynligt, at denne aktivitet understøttes af en nationalstat.
Hvilket land står bag Regin?
Navngivelse er fortsat et meget vanskeligt problem med hensyn til professionelle angribere, som dem, der står bag Regin.
Registrerer Kaspersky Lab alle varianter af denne malware?
Kasperskys produkter registrerer moduler fra Regin-platformen, f.eks.: Trojan.Win32.Regin.gen og Rootkit.Win32.Regin.