Atac informatic global asupra reţelelor GSM: spionaj vechi de trei ani

Echipa Global Research and Analysis Team din cadrul Kaspersky Lab a publicat un raport de cercetare despre Regin, prima platformă de atac cibernetic care permite atacatorilor sa acceseaze şi monitorizeaze reţelele GSM, în plus faţă de alte activităţi de spionaj cibernetic. Atacatorii din spatele lui Regin au compromis reţele de calculatoare din cel puţin 14 ţări diferite.

În primăvara anului 2012, experţii Kaspersky Lab au iniţiat analiza malware-ul Regin care părea să fie instrumentul unei campanii sofisticate de spionaj cibernetic. Experţii Kaspersky Lab au urmărit acest malware pe o perioadă de aproape trei ani consecutivi.

Din când în când, experţii Kaspesky Lab descopereau mostre fără o legătură pe mai multe servicii publice de scanare, cu o funcţionalitate obscură şi fără un context specific. Totuşi, experţii Kaspersky Lab au obţinut şi câteva mostre utilizate în atacuri reale, inclusiv în atacurile împotriva instituţiilor guvernamentale şi a operatorilor telecom, descoperind suficiente informaţii pentru a putea analiza această ameninţare în detaliu. 

Studiul aprofundat a arătat că Regin nu este doar un program periculos, ci o platformă – un pachet software care constă în multiple module ce pot infecta reţelele organizaţiilor vizate, cu scopul de a obţine control de la distanţă pe toate nivelele posibile. Atacatorii din spatele Regin urmăresc să colecteze date confidenţiale din reţelele atacate.

Actorul din spatele platformei Regin are o metodă bine dezvoltată pentru controlul reţelelor infectate. Experţii Kaspersky Lab au descoperit câteva organizaţii compromise într-o ţară, însă doar una dintre acestea era programată să comunice cu serverul de comandă şi control localizat într-o altă ţară.

Totuşi, toate victimele Regin fac parte dintr-o reţea VPN de tip peer-to-peer, acestea fiind capabile să comunice între ele. Astfel, atacatorii au transformat toate organizaţiile compromise într-o singură entitate, având posibilitatea să trimită comenzi şi să sustragă informaţii prin intermediul unui singur punct de acces. Conform rezultatelor descoperite de experţii Kaspersky Lab, această structură le-a permis atacatorilor să opereze în tăcere timp de mai mulţi ani, fără a crea suspiciuni.

O caracteristică originală şi interesantă a platformei Regin este capacitatea acesteia de a ataca reţelele GSM. Conform unor informaţii logate pe sistemul de control al celulelor GSM obţinute de experţii Kaspersky Lab în timpul investigaţiei, atacatorii puteau accesa date care le permiteau să controleze celulele GSM din reţeaua unui operator de telecomunicaţii important.

Acest lucru înseamnă că atacatorii aveau acces la informaţiile despre apelurile procesate de o anumită celulă, şi erau capabili să redirecţioneze aceste apeluri către alte celule, sau să activeze celule vecine. În prezent, conform descoperirilor, atacatorii din spatele Regin sunt singurii atacatori capabili de astfel de operaţiuni.

„Capacitatea de a accesa şi monitoriza reţelele GSM este poate cel mai neobişnuit şi interesant aspect al acestor operaţiuni,” a declarat Costin Raiu, Director of Global Research and Analysis Team la Kaspersky Lab. „Am devenit prea dependenţi de reţelele de telefonie mobilă, iar acestea utilizează protocoale de comunicare învechite, care nu oferă securitate adecvată utilizatorului final. Deşi reţelele GSM au mecanisme integrate care permit entităţilor precum organizaţiile de aplicare a legii să identifice suspecţii, infractorii cibernetici se pot folosi de aceaste mecanisme pentru a lansa diferite atacuri asupra utilizatorilor de telefoane mobilă,” a explicat Costin Raiu. 

[<a href="//storify.com/vladandriescu3/kaspersky-6" target="_blank">View the story "Kaspersky" on Storify</a>]