Regin, il trojan con funzionalità di backdoor e attivo sin dal 2008, ha attaccato le reti GSM di almeno quattordici paesi in tutto il globo. Lo afferma una nuova ricerca di Kaspersky Lab che si somma a quella di Symantec e che aggiunge ulteriori informazioni riguardo questo sofisticato malware. Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato la propria ricerca su Regin – la prima piattaforma per cyber attacchi che, oltre a effettuare lo spionaggio “classico”, penetra e monitora le reti GSM. I criminali che si celano dietro a questa piattaforma hanno compromesso reti informatiche in almeno 14 Paesi nel mondo.
I fatti in breve:
• Le principali vittime di questi criminali sono: operatori del settore delle telecomunicazioni, governi, istituzioni finanziarie, organizzazioni di ricerca, organi politici internazionali e individui impegnati in ricerche matematiche/criptografiche avanzate.
• Sono state rilevate vittime in Algeria, Afghanistan, Belgio, Brasile, Fiji, Germania, Iran, India, Indonesia, Kiribati, Malesia, Pakistan, Siria e Russia. La sua struttura mostra una competenza tecnica avanzata e ciò fa pensare che venga utilizzato come strumento di spionaggio e sorveglianza dalle agenzie di intelligence.
• La piattaforma Regin è costituita da diversi tool pericolosi in grado di compromettere l’intera rete di un’organizzazione attaccata. La piattaforma utilizza un metodo di comunicazione incredibilmente complesso tra le reti infettate e i server di comando e controllo, permettendo il controllo da remoto e la trasmissione segreta dei dati.
• Un particolare modulo di Regin può monitorare i BSC (Base Station Controller) basati sul GSM, raccogliendo informazioni sulle cellule GSM e l’infrastruttura di rete.
• Ad aprile 2008, nel corso di un solo mese, i criminali hanno raccolto le credenziali amministrative che potrebbero permetter loro di manipolare la rete GSM di un Paese del Medio Oriente.
• Alcuni dei primi esempi di Regin sembrano essere stati creati nel 2003.
Nella primavera 2012 gli esperti di Kaspersky Lab hanno scoperto il malware Regin, che sembrava far parte di una sofisticata campagna di spionaggio. Per quasi tre anni consecutivi i ricercatori di Kaspersky Lab hanno tracciato questo malware in tutto il mondo. Alcuni campioni sono stati trovati su diversi servizi multi-scanner, ma risultavano tutti indipendenti, con funzionalità nascoste e privi di contesto. Tuttavia, gli esperti di Kaspersky Lab sono stati in grado di ottenere campioni coinvolti in numerosi attacchi nel mondo reale, compresi quelli rivolti a istituzioni governative e operatori del settore delle telecomunicazioni, e questi esempi hanno fornito sufficienti informazioni per studiare più in profondità la minaccia.
Questo studio approfondito ha permesso di scoprire che Regin non è solo un singolo programma dannoso, ma una piattaforma – un pacchetto software composto da diversi moduli, in grado di infettare l’intera rete delle organizzazioni prese di mira per stabilire un controllo completo da remoto ad ogni livello possibile. Regin mira a raccogliere informazioni confidenziali dalle reti attaccate e mettere in atto molte altre tipologie di attacco. I criminali che si celano dietro alla piattaforma Regin hanno un metodo di controllo delle reti infettate ben sviluppato.
I ricercatori di Kaspersky Lab hanno studiato molte organizzazioni compromesse in un Paese, ma solo una di esse era stata programmata per comunicare col server di comando e controllo situato in un altro Paese. Tutte le vittime di Regin della regione erano unite in una rete peer to peer in stile VPN ed erano in grado di comunicare tra loro. Così, i criminali hanno trasformato le organizzazioni compromesse in un’unica grande vittima ed erano in grado di invire comandi e rubare informazioni tramite un unico punto d’accesso. Secondo la ricerca di Kaspersky Lab, questa struttura ha permesso ai criminali di operare di nascosto per anni senza far sorgere sospetti.
La caratteristica più originale e interessante della piattaforma Regin è la sua abilità di attaccare le reti GSM. Secondo un registro delle attività di un Base Station Controller GSM ottenuto dai ricercatori di Kaspersky Lab durante l’indagine, i cybercriminali sono stati in grado di ottenere le credenziali che potrebbero permettere loro di controllare le cellule GSM della rete di un importante operatore di telefonia. Questo significa che potrebbero aver avuto accesso a informazioni sulle chiamate effettuate da un determinato cellulare, dirottarle su altri cellulari, attivare cellulari vicini ed effettuare altre attività offensive. Allo stato attuale, i criminali dietro a Regin sono gli unici che si sa essere in grado di attuare queste operazioni.
“La capacità di penetrare e monitorare le reti GSM è forse l’aspetto più insolito e interessante di queste operazioni. Al giorno d’oggi, siamo diventati troppo dipendenti dalle reti dei telefoni cellulari, che si basano su vecchi protocolli di comunicazione con nessuna o scarsa sicurezza per l’utente finale. Sebbene tutte le reti GSM abbiano meccanismi incorporati che permettono a organizzazioni come le forze dell’ordine di controllare i sospettati, altri gruppi possono sfruttare questa possibilità per lanciare attacchi contro gli utenti mobile”, ha commentato Costin Raiu, Director del Global Research and Analysis Team di Kaspersky Lab. È possibile leggere ulteriori informazioni sulla piattaforma Regin su Securelist.com
Nessun commento:
Posta un commento