Virentyp: Malware / Advanced Persistent Threat (APT)
Regin ist eine Plattform für Cyberangriffe, die neben üblichen Spionageaufgaben auch GSM-Netzwerke überwachen kann.
Kurz gesagt ist Regin eine Cyberangriffs-Plattform, die Angreifer in den Netzwerken ihrer Opfer einsetzen, um die ultimative Kontrolle auf allen möglichen Ebenen zu erlangen. Die Plattform verfügt durch ihren äußerst modularen Aufbau über verschiedene Phasen, um unterschiedliche Angriffsbereiche abzudecken.
Die Malware kann Tastenanschläge aufzeichnen, Screenshots aufnehmen, beliebige Dateien vom System stehlen, E-Mails von Microsoft Exchange-Servern extrahieren und sämtliche Daten aus dem Netzwerkverkehr filtern.
Darüber hinaus können Angreifer GSM Base Station Controllers kompromittieren. Hierbei handelt es sich um Computer, die die GSM-Infrastruktur steuern. So können sie GSM-Netzwerke kontrollieren und andere Arten von Angriffen durchführen, einschließlich des Abfangens von Anrufen und Textnachrichten.
Sie ist eine der komplexesten Angriffe, die wir je erlebt haben. Die Plattform erinnert uns in einigen Punkten an eine andere ausgeklügelte Malware: Turla. Die Gemeinsamkeiten umfassen die Nutzung virtueller Dateisysteme und der Einsatz von Kommunikationsdrohnen zur Verbindung von Netzwerken. In Sachen Implementierung, Codierungsmethoden, Plug-ins, Verschleierungstaktiken und Flexibilität übertrifft Regin Turla jedoch und bildet so eine der raffiniertesten Angriffsplattformen, die wir je analysiert haben. Die Fähigkeit der Gruppe, in GSM-Netzwerke einzudringen und sie zu überwachen, ist wahrscheinlich der ungewöhnlichste und interessanteste Aspekt der Plattform.
Die Opfer von Regin lassen sich in folgende Kategorien aufteilen:
Bisher konnten wir zwei Hauptziele der Angreifer identifizieren:
Bisher traf Regin Opfer in 14 Ländern:
Insgesamt zählen wir 27 verschiedene Opfer, obwohl hierbei erwähnt werden sollte, dass sich der Begriff „Opfer“ hierbei auf ganze Einrichtungen bezieht, einschließlich ihrer gesamten Netzwerke. Die Anzahl der durch Regin infizierten PCs liegt dementsprechend deutlich höher.
In Anbetracht der Komplexität und der Kosten der Regin-Entwicklung ist es wahrscheinlich, dass die Plattform von einem Staat unterstützt wird.
Bei professionellen Angreifern, wie denen hinter Regin, ist es äußerst schwierig, Angriffe einem Land zuzuschreiben.
Kaspersky-Produkte erkennen Module der Regin-Plattform als: Trojan.Win32.Regin.gen und Rootkit.Win32.Regin.
Ja, IOC-Informationen finden Sie in unserem detaillierten technischen Forschungsbericht.