Mobile

Regin: zloćudna platforma sposobna za špijuniranje GSM mreža

Globalni istraživački i analitički tim kompanije Kaspersky Lab objavio je svoje istraživanje o platformi Regin koja vrši sajber-napade i koja je prva poznata po tome što može da prodre i nadgleda GSM mreže, pored „standardnih“ špijunskih zadataka.

Napadači koji stoje iza ove platforme su kompromitovali kompjuterske mreže u najmanje 14 zemalja širom sveta.

Glavne činjenice:

  • Glavne žrtve ove platforme su: telekomunikacioni operateri, vlade, finansijske institucije, istraživačke organizacije, međunarodna politička tela i pojedinci uključeni u napredna matematička/ kriptografska istraživanja.
  • Žrtve platforme su pronađene u Alžiru, Avganistanu, Belgiji, Brazilu, na Fidžiju, u Nemačkoj, Iranu, Indiji, Indoneziju, na Kiribatima, u Maleziji, Pakistanu, Siriji i Rusiji.
  • Platforma Regin se sastoji od brojnih zloćudnih alata sposobnih da kompromituju celu mrežu napadnute organizacije. Platforma koristi neverovatno komplikovanu komunikacionu metodu između zaraženih mreža i komandnih i kontrolnih servera, što omogućava kontrolu sa daljine i skriveni prenos podataka.
  • Jedan od modula Regin platforme ima mogućnost da vrši monitoring bazne stanice GSM mreže, prikuplja podatke o GSM telefonima i infrastrukturi mreže.
  • Tokom samo jednog meseca, u aprilu 2008. godine, napadači su prikupili toliku količinu admnistrativnih akreditiva da su mogli da manipulišu GSM mrežom jedne države sa Srednjeg Istoka.
  • Smatra se da su najstariji oblici Regina napravljeni već 2003. godine.

Na proleće 2012. godine, stručnjaci kompanije Kaspersky Lab su postali svesni zloćudnog softvera Regin, za koji se smatralo da je deo sofisticirane špijunske kampanje. Gotovo tri naredne godine, stručnjaci kompanije Kaspersky Lab su pratili ovaj softver po svetu. S vremena na vreme pojavili bi se uzorci na različitim multi-skener servisima, ali nisu bili u vezi jedan sa drugim, njihova funkcionalnost je bila tajnovita i nedostajao je kontekst. Međutim, stručnjaci kompanije Kaspersky Lab su uspeli da dobave uzorke koji su bili uključeni u nekoliko napada u stvarnom svetu, uključujući one protiv vladinih institucija i telekomunikacionih operatera, što je pružilo dovoljno informacija da se dublje istraži ova pretnja.

Dubinska studija je otkrila da Regin nije samo jedan zloćudni program, već platforma – softverski paket koga čine višestruki moduli sposobni da zaraze čitave mreže ciljanih organizacija kako bi dostigli potpunu daljinsku kontrolu na svim mogućim nivoima. Regin ima za cilj da prikupi poverljive podatke sa zaraženih mreža i izvrši još nekoliko vrsta napada.

Akter koji stoji iza platforme Regin ima veoma dobro razvijenu metodu za kontrolu zaraženih mreža. Stručnjaci kompanije Kaspersky Lab su posmatrali nekoliko kompromitovanih organizacija jedne zemlje, ali samo je jedna od njih bila programirana da komunicira sa komandnim i kontrolnim serverom koji se nalazio u drugoj zemlji.

Međutim, sve žrtve Regina u regiji su bile povezane „peer-to-peer“ mrežom sličnom VPN-u i mogle su da međusobno komuniciraju. Tako su napadači pretvorili kompromitovane organizacije u veliku, ujedinjenu žrtvu i uspevali da šalju komande i kradu informacije kroz jednu tačku ulaza. Prema istraživanju kompanije Kaspersky Lab, ova struktura je omogućila akteru da skriveno funkcioniše godinama bez izazivanja sumnje.

Ipak, najoriginalnija i najinteresantnija osobina platforme Regin je mogućnost napadanja GSM mreža. Prema aktiviranim nalozima na kontroloru bazne stanice GSM-a do kojih su došli stručnjaci kompanije Kaspersky Lab tokom istrage, napadači su mogli da dobave akreditive koji su im omogućili da kontrolišu GSM telefone u mreži velikog mobilnog operatera. To znači da su imali pristup informacijama o tome koje pozive obrađuje određeni telefon, da su mogli da preusmere pozive na druge telefone i izvrše druge napade. Do sada je jedino za napadače koji stoje iza platforme Regin poznato da mogu da obave takve operacije.

Mogućnost prodiranja i nadgledanja GSM mreža je možda najviše neuobičajen i zanimljiv aspekt ovih operacija. U današnjem svetu postali smo previše zavisni od mreža mobilnih telefona koje su zasnovane na prestarim komunikacionim protokolima koje krajnjem korisniku ne pružaju nikakvu zaštitu ili je pružaju malo. Iako sve GSM mreže imaju ugrađene mehanizme koji omogućavaju entitetima kao što predstavnici zakona da prate osumnjičene, drugi akteri mogu da preuzmu ovu mogućnost i zloupotrebe je da pokrenu različite napade protiv mobilnih korisnika“, kaže Kostin Raiu, direktor globalnog istraživačkog i analitičkog tima kompanije Kaspersky Lab.

Leave a Reply