Die Regin-Attacke gehört zu den bisher anspruchsvollsten Angriffen

Eine neue APT-Kampagne mit dem Namen Regin zielt auf die üblichen Opfer ab, aber auch auf einen angesehenen Kryptographen sowie den GSM-Standard, über den die meisten Handy-Kommunikationen laufen.

Fast jede Organisation, die daran arbeitet, Advanced-Persistent-Threat-Kampagnen (APT) nachzuverfolgen und aufzudecken, beschäftigt sich momentan mit einer neuen und höchst anspruchsvollen Angriffsplattform namens „Regin“ (ausgesprochen wie der frühere US-Präsident Reagan). Allgemein wird angenommen, dass Regin das Werk eines finanzkräftigen Staats ist, wobei es aber unmöglich ist, ein bestimmtes Land als Urheber festzustellen.

APT Regin

Es scheint, als hätten eine ganze Reihe Einzelpersonen und Organisationen Dossiers über Regin angelegt, denn gleich nachdem Symantec am letzten Wochenende einen ersten Bericht darüber veröffentlichte, tauchten weitere Artikel dazu auf, die weitere Informationen zu den ersten Erkenntnissen hinzufügten. Nicht nur eine Firma und nicht nur ein Forscher – auch das Global Research and Analysis Team (GReAT) von Kaspersky Lab – hat Regin als die bisher anspruchsvollste Angriffskampagne bezeichnet.

Laut den Erkenntnissen von Kaspersky Lab, zielt Regin auf Telekom-Anbieter, Regierungseinrichtungen, multinationale politische Organisationen, Finanz- und Forschungsinstitutionen sowie Einzelpersonen ab, die mit Mathematik und Kryptographie zu tun haben. Die Angreifer scheinen vor allem daran interessiert zu sein, Informationen zu sammeln und andere Angriffe durchzuführen. Zur Informationsbeschaffung gehört bei Regin auch das Ausspionieren von E-Mails und Dokumenten, doch die Gruppe greift auch unerbittlich Telekommunikationsfirmen (was ganz normal für solche Angriffe ist), aber auch mindestens einen GSM-Anbieter an (was weniger normal ist).

Die Abkürzung GSM steht für Global System for Mobile Communications, einen Standard zur drahtlosen Kommunikation zwischen Handys. GSM kann man sich als zweite Generation (2G) der mobilen Kommunikationstechnologien vorstellen, Vorläufer von 3G- und 4G-Netzwerken. Doch laut verschiedener Berichte, ist GSM der Standard mobiler Netzwerke beim Großteil der Telekom-Anbieter. GSM ist in über 219 Ländern und Regionen verfügbar und hält 90 Prozent Anteil am mobilen Telekom-Markt.

Das bedeutet, dass sie Zugriff darauf gehabt haben könnten, welche Anrufe von einem bestimmten Handy getätigt werden, und diese Anrufe auf andere Handys umleiten, sowie andere schädliche Aktivitäten durchführen konnten.

„Die Fähigkeit dieser Gruppe, in GSM-Netzwerke einzudringen und diese zu überwachen, ist wahrscheinlich der ungewöhnlichste und interessanteste Aspekt dieser Operation“, so das Global Research and Analysis Team von Kaspersky Lab in einem Bericht. „In der heutigen Zeit sind wir viel zu abhängig von mobilen Handynetzwerken, die auf veralteten Kommunikationsprotokollen basieren und nur wenig oder gar keine Sicherheit für den Endanwender bieten. Auch wenn GSM-Netzwerke Mechanismen enthalten, über die zum Beispiel Strafverfolgungsbehörden Verdächtige verfolgen können, so können das natürlich auch andere machen, wenn sie den Zugriff auf diese Mechanismen bekommen. Zudem können sie auch weitere Angriffe auf mobile Nutzer starten.“

Die Angreifer schafften es, Zugangsdaten eines internen GSM-Basis-Controllers zu stehlen, der zu einem großen Telekom-Anbieter gehört. Dadurch bekamen die Täter Zugang zu GSM-Handys im entsprechenden Netzwerk, so die Kaspersky-Experten weiter. Mein Threatpost-Kollege Mike Mimoso bemerkte dazu, dass Basis-Controller Anrufe verwalten, während sich diese durch das mobile Netzwerk bewegen, und dabei Ressourcen und mobile Datenübertragungen verteilen.

„Das bedeutet, dass sie Zugriff darauf gehabt haben könnten, welche Anrufe von einem bestimmten Handy getätigt werden, und diese Anrufe auf andere Handys oder Handys in der Nähe umleiten, sowie andere schädliche Aktivitäten durchführen konnten“, so der Kaspersky-Experte weiter. „Momentan sind die Hintermänner hinter Regin die einzigen, von denen bekannt ist, zu solchen Aktionen fähig zu sein.“

Die Regin-Täter können also nicht nur passiv die Kommunikations-Metadaten von Handys abgreifen, sondern Handyanrufe auch aktiv von einer Nummer auf eine andere umleiten.

Ein weiterer bizarrer und interessanter Aspekt der Regin-Attacke ist die Geschichte des berühmten belgischen Kryptographen und Mathematikers Jean-Jacques Quisquater. Im Februar gab es erste Berichte darüber, dass Quisquaters PC sechs Monate vorher gehackt worden ist. Nun ist es nicht ungewöhnlich, dass prominente Akademiker Hacker-Angriffen ausgesetzt sind, doch dieser Fall war anders, denn es gab Ähnlichkeiten zwischen der Attacke auf den Computer des Mathematikers und einer Attacke auf den belgischen Telekom-Anbieter Belgacom.

Der Angriff auf Belgacom wurde auch in den Enthüllungen von Edward Snowden erwähnt, in denen behauptet wurde, dass dieser Angriff von der NSA zusammen mit ihrem britischen Gegenstück GCHQ druchgeführt worden sei. Natürlich haben viele Medien angenommen, dass diese Ähnlichkeit darauf hindeutet, dass die amerikanischen und britischen Geheimdienste hinter beiden Attacken stecken. Wir können diese Vermutung nicht unterschreiben, auch wenn viele Medien darüber berichtet haben und es eine Erwähnung wert ist.

Zusätzlich zur Quisquater-Geschichte und der Tatsache, dass sie GSM-Netze angreift, muss man auch sagen, dass die Regin-Angriffsplattform technisch wahnsinnig anspruchsvoll ist, vor allem im Bereich der Dauerhaftigkeit: Die Täter haben mit ihrer Command-Infrastruktur Backdoors aufgebaut, um eine unauffällige, beständige Präsenz in den Neztwerken der Opfer zu erreichen. Die komplette Kommunikation der Kampagne war verschlüsselt, um sicherzustellen, dass die Angriffe nicht beobachtet werden können – sowohl von den Angreifern und ihren Control-Servern, als auch zwischen den Opfer-Computern und der Angreifer-Infrastruktur.

Der Großteil der Regin-Kommunikation passiert zwischen den infizierten Computern (die als Kommunikations-Drohnen bezeichnet werden) in den Netzwerken der Opfer. Dafür gibt es zwei Gründe: Es erlaubt tiefen Zugriff und beschränkt die Datenmenge, die das Netzwerk auf dem Weg zu einem Command-and-Control-Server verlässt. Denn wenn man bemerkt, dass Daten das Netzwerk verlassen und zu einem unbekannten Netzwerk übertragen werden, ist das alarmierend. Die von den Tätern verwendete netzwerkinterne Peer-to-Peer-Kommunikation macht es dagegen schwerer, eine laufende Attacke zu entdecken.

In einem Land des Nahen Ostens kommunizierte jedes von Kaspersky Lab identifizierte Opfer-Netzwerk mit allen anderen Netzwerken auf Basis einer Peer-to-Peer-Struktur. Zu dem Netzwerk gehörten das Büro des Präsidenten, eine Forschungseinrichtung, ein Schulungsnetzwerk sowie eine Bank. Eines der Opfer enthielt eine Übersetzungsdrohne, die gestohlene Datenpakete außer Landes schaffen konnte, und zwar zu den Command-and-Control-Servern in Indien.

„Das ist ein recht interessanter Command-and-Control-Mechanismus, der auf jeden Fall kaum Verdacht weckt“, so ein Forscher dazu. „Wenn zum Beispiel alle Kommandos für das Büro des Präsidenten über das Netzwerk der Bank gesendet werden, sehen die Administratoren des Präsidentenbüros nur schädlichen Datenverkehr, der von der Bank im gleichen Land kommt.“

Regin wird in fünf Stufen ausgeliefert, so dass die Angreifer mit jeder Stufe, die einen weiteren Teil des Angriffs startet, tieferen Zugriff auf das Opfer-Netzwerk erhalten. Die Module der ersten Stufe enthalten nur ausführbare Daten, die auf dem Opfer-Computer gespeichert werden und alle mit gefälschten digitalen Zertifikaten von Microsoft und Broadcom signiert sind, so dass sie legitim aussehen.

Die Kaspersky-Lösungen entdecken die Module von Regis als Trojan.Win32.Regin.gen und Rootkit.Win32.Regin. Falls Sie genauere Informationen zu Regis haben möchten, finden Sie diese in unserem ausführlichen technischen Bericht.

Tipps