Nella primavera 2012 gli esperti di Kaspersky Lab hanno scoperto il malware Regin, che sembrava far parte di una sofisticata campagna di spionaggio. Per quasi tre anni consecutivi i ricercatori di Kaspersky Lab hanno tracciato questo malware in tutto il mondo. Alcuni campioni sono stati trovati su diversi servizi multi-scanner, ma risultavano tutti indipendenti, con funzionalità nascoste e privi di contesto. Tuttavia, gli esperti di Kaspersky Lab sono stati in grado di ottenere campioni coinvolti in numerosi attacchi nel mondo reale, compresi quelli rivolti a istituzioni governative e operatori del settore delle telecomunicazioni, e questi esempi hanno fornito sufficienti informazioni per studiare più in profondità la minaccia.
Questo studio approfondito ha permesso di scoprire che Regin non è solo un singolo programma dannoso, ma una piattaforma – un pacchetto software composto da diversi moduli, in grado di infettare l’intera rete delle organizzazioni prese di mira per stabilire un controllo completo da remoto ad ogni livello possibile. Regin mira a raccogliere informazioni confidenziali dalle reti attaccate e mettere in atto molte altre tipologie di attacco.
I criminali che si celano dietro alla piattaforma Regin hanno un metodo di controllo delle reti infettate ben sviluppato. I ricercatori di Kaspersky Lab hanno studiato molte organizzazioni compromesse in un Paese, ma solo una di esse era stata programmata per comunicare col server di comando e controllo situato in un altro Paese.
Tutte le vittime di Regin della regione erano unite in una rete peer to peer in stile VPN ed erano in grado di comunicare tra loro. Così, i criminali hanno trasformato le organizzazioni compromesse in un’unica grande vittima ed erano in grado di invire comandi e rubare informazioni tramite un unico punto d’accesso. Secondo la ricerca di Kaspersky Lab, questa struttura ha permesso ai criminali di operare di nascosto per anni senza far sorgere sospetti.
La caratteristica più originale e interessante della piattaforma Regin è la sua abilità di attaccare le reti GSM. Secondo un registro delle attività di un Base Station Controller GSM ottenuto dai ricercatori di Kaspersky Lab durante l’indagine, i cybercriminali sono stati in grado di ottenere le credenziali che potrebbero permettere loro di controllare le cellule GSM della rete di un importante operatore di telefonia. Questo significa che potrebbero aver avuto accesso a informazioni sulle chiamate effettuate da un determinato cellulare, dirottarle su altri cellulari, attivare cellulari vicini ed effettuare altre attività offensive. Allo stato attuale, i criminali dietro a Regin sono gli unici che si sa essere in grado di attuare queste operazioni.
“La capacità di penetrare e monitorare le reti GSM è forse l’aspetto più insolito e interessante di queste operazioni. Al giorno d’oggi, siamo diventati troppo dipendenti dalle reti dei telefoni cellulari, che si basano su vecchi protocolli di comunicazione con nessuna o scarsa sicurezza per l’utente finale. Sebbene tutte le reti GSM abbiano meccanismi incorporati che permettono a organizzazioni come le forze dell’ordine di controllare i sospettati, altri gruppi possono sfruttare questa possibilità per lanciare attacchi contro gli utenti mobile”, ha commentato Costin Raiu, Director del Global Research and Analysis Team di Kaspersky Lab.
