Die Regin-Plattform

VIRENDEFINITION

Virentyp: Malware / Advanced Persistent Threat (APT)

Was ist Regin?

Regin ist eine Plattform für Cyberangriffe, die neben üblichen Spionageaufgaben auch GSM-Netzwerke überwachen kann.

Kurz gesagt ist Regin eine Cyberangriffs-Plattform, die Angreifer in den Netzwerken ihrer Opfer einsetzen, um die ultimative Kontrolle auf allen möglichen Ebenen zu erlangen. Die Plattform verfügt durch ihren äußerst modularen Aufbau über verschiedene Phasen, um unterschiedliche Angriffsbereiche abzudecken.

Die Malware kann Tastenanschläge aufzeichnen, Screenshots aufnehmen, beliebige Dateien vom System stehlen, E-Mails von Microsoft Exchange-Servern extrahieren und sämtliche Daten aus dem Netzwerkverkehr filtern.

Darüber hinaus können Angreifer GSM Base Station Controllers kompromittieren. Hierbei handelt es sich um Computer, die die GSM-Infrastruktur steuern. So können sie GSM-Netzwerke kontrollieren und andere Arten von Angriffen durchführen, einschließlich des Abfangens von Anrufen und Textnachrichten.

Wie unterscheidet sich die Plattform von anderen APT-Angriffen?

Sie ist eine der komplexesten Angriffe, die wir je erlebt haben. Die Plattform erinnert uns in einigen Punkten an eine andere ausgeklügelte Malware: Turla. Die Gemeinsamkeiten umfassen die Nutzung virtueller Dateisysteme und der Einsatz von Kommunikationsdrohnen zur Verbindung von Netzwerken. In Sachen Implementierung, Codierungsmethoden, Plug-ins, Verschleierungstaktiken und Flexibilität übertrifft Regin Turla jedoch und bildet so eine der raffiniertesten Angriffsplattformen, die wir je analysiert haben. Die Fähigkeit der Gruppe, in GSM-Netzwerke einzudringen und sie zu überwachen, ist wahrscheinlich der ungewöhnlichste und interessanteste Aspekt der Plattform.

Wer sind die Opfer bzw. was lässt sich über die Ziele der Angriffe sagen?

Die Opfer von Regin lassen sich in folgende Kategorien aufteilen:

• Telekommunikationsbetreiber
• Regierungsbehörden
• Multinationale politische Organe
• Finanzinstitutionen
• Forschungseinrichtungen
• Privatpersonen, die an fortschrittlicher mathematischer/kryptografischer Forschung beteiligt sind

Bisher konnten wir zwei Hauptziele der Angreifer identifizieren:

• Erfassung von Informationen
• Vorbereitung von anderen Angriffsarten

Bisher traf Regin Opfer in 14 Ländern:

• Algerien
• Afghanistan
• Belgien
• Brasilien
• Fidschi
• Deutschland
• Iran
• Indien
• Indonesien
• Kiribati
• Malaysia
• Pakistan
• Russland
• Syrien

Insgesamt zählen wir 27 verschiedene Opfer, obwohl hierbei erwähnt werden sollte, dass sich der Begriff „Opfer“ hierbei auf ganze Einrichtungen bezieht, einschließlich ihrer gesamten Netzwerke. Die Anzahl der durch Regin infizierten PCs liegt dementsprechend deutlich höher.

Wird der Angriff von einem Staat finanziert?

In Anbetracht der Komplexität und der Kosten der Regin-Entwicklung ist es wahrscheinlich, dass die Plattform von einem Staat unterstützt wird.

Welches Land steckt hinter Regin?

Bei professionellen Angreifern, wie denen hinter Regin, ist es äußerst schwierig, Angriffe einem Land zuzuschreiben.

Erkennt Kaspersky Lab alle Varianten dieser Malware?

Kaspersky-Produkte erkennen Module der Regin-Plattform als: Trojan.Win32.Regin.gen und Rootkit.Win32.Regin.

Gibt es Gefährdungsindikatoren (Indicators of Compromise, IOC), an denen Opfer die Eindringung erkennen können?

Ja, IOC-Informationen finden Sie in unserem detaillierten technischen Forschungsbericht.