TECH
Un nuovo report getta una luce sinistra sul 'virus fantasma'
Regin, un malware? No, molto di più: una piattaforma
Il Global Research and Analysis Team di Kaspersky Lab ha pubblicato una propria ricerca su Regin e rivela che si tratta della prima piattaforma per cyber attacchi che, oltre a effettuare lo spionaggio "classico", penetra e monitora le reti GSM.
Secondo Kaspersky Lab, coloro che si celano dietro a questa piattaforma hanno compromesso reti informatiche in almeno 14 Paesi nel mondo. Ecco cosa hanno accertato gi esperti:
- Le principali vittime di questi criminali sono: operatori del settore delle telecomunicazioni, governi, istituzioni finanziarie, organizzazioni di ricerca, organi politici internazionali e individui impegnati in ricerche matematiche/criptografiche avanzate.
- Sono state rilevate vittime in Algeria, Afghanistan, Belgio, Brasile, Fiji, Germania, Iran, India, Indonesia, Kiribati, Malesia, Pakistan, Siria e Russia.
- La piattaforma Regin è costituita da diversi tool pericolosi in grado di compromettere l'intera rete di un'organizzazione attaccata. La piattaforma utilizza un metodo di comunicazione incredibilmente complesso tra le reti infettate e i server di comando e controllo, permettendo il controllo da remoto e la trasmissione segreta dei dati.
- Un particolare modulo di Regin può monitorare i BSC (Base Station Controller) basati sul GSM, raccogliendo informazioni sulle cellule GSM e l'infrastruttura di rete.
- Ad aprile 2008, nel corso di un solo mese, hanno raccolto le credenziali amministrative che potrebbero permetter loro di manipolare la rete GSM di un Paese del Medio Oriente.
- Alcuni dei primi esempi di Regin sembrano essere stati creati nel 2003.
Scoperto nel 2012
Nella primavera 2012 gli esperti di Kaspersky Lab affermano di aver scoperto il malware Regin, che sembrava far parte di una sofisticata campagna di spionaggio.
Per quasi tre anni consecutivi i ricercatori di Kaspersky Lab hanno tracciato questo malware in tutto il mondo. Alcuni campioni sono stati trovati su diversi servizi multi-scanner, ma risultavano tutti indipendenti, con funzionalità nascoste e privi di contesto.
Non solo malware
Regin, affermano gli esperti, non è solo un singolo programma dannoso, ma una piattaforma - un pacchetto software composto da diversi moduli, in grado di infettare l'intera rete delle organizzazioni prese di mira per stabilire un controllo completo da remoto ad ogni livello possibile. Regin mira a raccogliere informazioni confidenziali dalle reti attaccate e mettere in atto molte altre tipologie di attacco.
Infezione sofisticata
Dietro la piattaforma Regin ci sono 'cervelli' con un metodo di controllo delle reti infettate ben sviluppato. Tutte le vittime di Regin della regione erano unite in una rete peer to peer in stile Vpn ed erano in grado di comunicare tra loro. Così, gli attacchi hanno consentito di trasformare le organizzazioni compromesse in un'unica grande vittima ed erano in grado di invire comandi e rubare informazioni tramite un unico punto d'accesso.
Nella rete Gsm
Secondo la ricerca di Kaspersky Lab, la caratteristica più originale e interessante della piattaforma Regin è la sua abilità di attaccare le reti Gsm. Secondo un registro delle attività di un Base Station Controller Gsm ottenuto dai ricercatori di Kaspersky Lab durante l'indagine, i cybercriminali sono stati in grado di ottenere le credenziali che potrebbero permettere loro di controllare le cellule Gsm della rete di un importante operatore di telefonia. Questo significa che potrebbero aver avuto accesso a informazioni sulle chiamate effettuate da un determinato cellulare, dirottarle su altri cellulari, attivare cellulari vicini ed effettuare altre attività offensive. Allo stato attuale, dietro a Regin ci sono gli unici hacker che si conosca ad essere in grado di attuare queste operazioni.
- Le principali vittime di questi criminali sono: operatori del settore delle telecomunicazioni, governi, istituzioni finanziarie, organizzazioni di ricerca, organi politici internazionali e individui impegnati in ricerche matematiche/criptografiche avanzate.
- Sono state rilevate vittime in Algeria, Afghanistan, Belgio, Brasile, Fiji, Germania, Iran, India, Indonesia, Kiribati, Malesia, Pakistan, Siria e Russia.
- La piattaforma Regin è costituita da diversi tool pericolosi in grado di compromettere l'intera rete di un'organizzazione attaccata. La piattaforma utilizza un metodo di comunicazione incredibilmente complesso tra le reti infettate e i server di comando e controllo, permettendo il controllo da remoto e la trasmissione segreta dei dati.
- Un particolare modulo di Regin può monitorare i BSC (Base Station Controller) basati sul GSM, raccogliendo informazioni sulle cellule GSM e l'infrastruttura di rete.
- Ad aprile 2008, nel corso di un solo mese, hanno raccolto le credenziali amministrative che potrebbero permetter loro di manipolare la rete GSM di un Paese del Medio Oriente.
- Alcuni dei primi esempi di Regin sembrano essere stati creati nel 2003.
Scoperto nel 2012
Nella primavera 2012 gli esperti di Kaspersky Lab affermano di aver scoperto il malware Regin, che sembrava far parte di una sofisticata campagna di spionaggio.
Per quasi tre anni consecutivi i ricercatori di Kaspersky Lab hanno tracciato questo malware in tutto il mondo. Alcuni campioni sono stati trovati su diversi servizi multi-scanner, ma risultavano tutti indipendenti, con funzionalità nascoste e privi di contesto.
Non solo malware
Regin, affermano gli esperti, non è solo un singolo programma dannoso, ma una piattaforma - un pacchetto software composto da diversi moduli, in grado di infettare l'intera rete delle organizzazioni prese di mira per stabilire un controllo completo da remoto ad ogni livello possibile. Regin mira a raccogliere informazioni confidenziali dalle reti attaccate e mettere in atto molte altre tipologie di attacco.
Infezione sofisticata
Dietro la piattaforma Regin ci sono 'cervelli' con un metodo di controllo delle reti infettate ben sviluppato. Tutte le vittime di Regin della regione erano unite in una rete peer to peer in stile Vpn ed erano in grado di comunicare tra loro. Così, gli attacchi hanno consentito di trasformare le organizzazioni compromesse in un'unica grande vittima ed erano in grado di invire comandi e rubare informazioni tramite un unico punto d'accesso.
Nella rete Gsm
Secondo la ricerca di Kaspersky Lab, la caratteristica più originale e interessante della piattaforma Regin è la sua abilità di attaccare le reti Gsm. Secondo un registro delle attività di un Base Station Controller Gsm ottenuto dai ricercatori di Kaspersky Lab durante l'indagine, i cybercriminali sono stati in grado di ottenere le credenziali che potrebbero permettere loro di controllare le cellule Gsm della rete di un importante operatore di telefonia. Questo significa che potrebbero aver avuto accesso a informazioni sulle chiamate effettuate da un determinato cellulare, dirottarle su altri cellulari, attivare cellulari vicini ed effettuare altre attività offensive. Allo stato attuale, dietro a Regin ci sono gli unici hacker che si conosca ad essere in grado di attuare queste operazioni.