«Лаборатория Касперского» опубликовала анализ одной из самых опасных вредоносных киберплатформ в истории. Обнаруженный недавно троянец, получивший обозначение Regin, существует уже более десяти лет, среди его достижений отмечено заражение GSM-инфраструктуры одного из крупных операторов связи и отслеживание активности базовых станций сотовой сети.

Как сообщают исследователи-безопасники «Лаборатории Касперского», разрозненные следы Regin они встречали с 2012 года, на антивирусных сервисах периодически всплывали различные не связанные между собой семплы с загадочным предназначением, некоторые из которых были созданы в 2003 году. Полноценно проанализировать атаку удалось лишь недавно.

Regin, названный так из-за того, что часть своих компонентов хранит в реестре Windows (игра слов «in registry» — «regin»), атакует лишь самые важные цели из ограниченного списка категорий: телекоммуникационные компании, органы государственной власти, финансовые и научные учреждения, международные политические организации и ученые, участвующие в математических и криптографических исследованиях. В частности, одной из жертв оказался знаменитый бельгийский криптограф Жан-Жак Кискатер (Jean-Jacques Quisquater), который предоставил «Лаборатории Касперского» обнаруженный у него на компьютере семпл зловреда.

Исследователям так и не удалось определить способ, который применяют злоумышленники для изначального внедрения Regin на компьютер жертвы. Не было обнаружено никаких эксплойтов для уязвимостей нулевого дня, в большинстве расследованных случаев зловред проникал на компьютеры с других компьютеров сети, используя права администратора. В некоторых случаях заражены были контроллеры домена Windows-сети.

Первый этап заражения заключается в проникновении на компьютер исполняемого файла, видов которого обнаружено очень много. Такое многообразие, по всей видимости, необходимо для затруднения обнаружения программы антивирусными инструментами. Другие компоненты вредоносной платформы, загружаемые после этого, хранятся напрямую на жестком диске (для 64-битных систем) или в расширенных атрибутах файловой системы NTFS (в 32-битных системах).

Программы второго этапа заражения обладают множеством функций, включая самоудаление Regin с зараженного компьютера по команде. В конце процесса загружается программа-диспетчер, «мозг» Regin, содержащий API для доступа к виртуальным файловым системам и базовые функции связи и хранения модулей.

Исследователями было выявлено два основных направления работы Regin: сбор информации и обеспечение проведения атак других типов. В большинстве случаев злоумышленники, стоящие за Regin, крадут письма и документы, но были отмечены и инциденты компрометации операторов связи, в которых проводились более хитроумные атаки.

Наиболее интересным из всех обнаруженных компонентов Regin оказался модуль, использующийся при заражении инфраструктуры GSM-связи и обнаруженный в сети одного из крупных операторов связи. Его основной функцией является запись всей активности определенных базовых станций сотовой связи, модуль ведет журнал, где сохраняются все вводимые команды для базовых станций производства Ericsson. Также в обнаруженных журналах были найдены имена пользователей и пароли учетных записей инженеров, обслуживающих инфраструктуру. Всего в найденном журнале были записаны команды, исполнявшиеся на 136 различных базовых станциях.

Механизм управления и контроля Regin крайне сложен и основан на коммуникационных узлах, устанавливаемых злоумышленниками в сети жертвы. Зловред связывается с другими машинами сети, используя различные протоколы, в соответствии с настройками конфигурационного файла. Пограничные машины сети работают в качестве маршрутизатора, связывая зараженные машины жертв с внешними серверами управления и контроля. Исследователям удалось обнаружить пять таких серверов, расположенных на Тайване, в Индии и Бельгии.

Особенно интересный случай был обнаружен в одной из средневосточных стран: все жертвы Regin в стране оказались соединены в p2p-сеть, включающую в себя администрацию президента, исследовательский центр, сеть университета и банк. Компьютер одной из жертв служил коммуникационным узлом, через который вся сеть Regin связывалась с сервером управления и контроля, расположенным в Индии.

Всего удалось обнаружить 27 различных жертв Regin, расположенных в 14 странах, в том числе в Алжире, Афганистане, Бельгии, Бразилии, Фиджи, Германии, Иране, Индонезии, Кирибати, Малайзии, Пакистане, России и Сирии. Исходя из сложности и стоимости разработки Regin, исследователи «Лаборатории Касперского» заключили, что эта операция должна иметь поддержку государственного уровня. При этом удалось найти крайне малый объем метаданных, что затрудняет определение того, какая страна стоит за этой атакой.

Категории: Вредоносные программы