Regin-plattformen

VIRUSDEFINITION

Virustyp: skadlig programvara/avancerade långvariga hot (APT)

Vad är Regin?

Regin är en cyberattacksplattform där man kan övervaka GSM-nätverk och utföra olika standarduppgifter inom spioneri.

Regin är kort sagt en plattform som hackarna driftsätter i offrens nätverk för att sedan kunna fjärrstyra de nätverken helt. Plattformen är modulär, så hackarna genomför sina attacker i flera stadier.

De kan samla tangentbordsloggar, ta skärmklipp, stjäla filer samt extrahera e-postmeddelanden ur MS Exchange-servrar och data ur nätverkstrafik.

De kan även kapa GSM-basstationsstyrenheter, alltså de datorer där GSM-infrastrukturen styrs. Via GSM-nätverken kan de sedan till exempel kapa samtal och textmeddelanden.

Hur skiljer sig detta från andra APT-attacker?

Det är en av de mest sofistikerade attacker vi sett. Den här plattformen liknar en annan sofistikerad skadlig programvara: Turla. Bland likheterna märks användningen av virtuella filsystem och driftsättningen av kommunikationsdrönare för att överbrygga nätverk. Regin överträffar dock Turla med sina implementerings- och kodningsmetoder, döljningstekniker och flexibilitet och är en av de mest sofistikerade attackplattformar vi någonsin har analyserat. Denna grupps förmåga att tränga in i och övervaka GSM-nätverk är kanske den mest ovanliga och intressanta aspekten.

Vilka är offren?/ Vad vet man om måltavlorna för attackerna?

Regins offer kan delas in i följande kategorier:

• telekomoperatörer
• myndigheter
• multinationella politiska organ
• finansiella institutioner
• forskningsinstitutioner
• personer som jobbar med avancerad matematisk/kryptografisk forskning.

Hittills har vi noterat två huvudmål från angriparna:

• Samla in information
• Underlätta för andra typer av angrepp

Hittills har offer för Regin identifierats i 14 länder

• Algeriet
• Afghanistan
• Belgien
• Brasilien
• Fiji
• Tyskland
• Iran
• Indien
• Indonesien
• Kiribati
• Malaysia
• Pakistan
• Ryssland
• Syrien

Vi har registrerat totalt 27 olika offer, men det bör påpekas att med "offer" menar vi här en hel organisation med tillhörande nätverk. Antalet unika datorer som är smittade med Regin är naturligtvis mycket, mycket större.

Är detta en attack som har sponsrats av en stat?

Med tanke på hur avancerat Regin är och hur mycket utvecklingen måste ha kostat är det sannolikt att en stat ligger bakom.

Vilket land ligger bakom Regin?

Attribution förblir ett mycket svårt problem när det gäller professionella angripare som de som ligger bakom Regin.

Kan Kaspersky Lab identifiera alla varianter av denna skadliga programvara?

Med Kasperskys produkter upptäcker du bl.a. de här Regin-modulerna: Trojan.Win32.Regin.gen och Rootkit.Win32.Regin.

Finns det några tecken på att du har drabbats (IOC:er) för att hjälpa offren identifiera intrånget?

Ja, IOC-information har inkluderats i vår detaljerade tekniska rapport.