返回新闻列表

监听GSM网络的Regin恶意平台

        卡巴斯基实验室全球研究与分析团队发表了有关首款网络攻击平台Regin的调查结果。除了执行“常规”间谍任务外,该平台还可以入侵和控制GSM(全球移动通信系统)网络。其幕后攻击者入侵了全球至少14个国家的计算机系统。

关于Regin:

  • 攻击者的主要目标为电信运营商、政府、金融机构、研究组织、跨国政治团体以及从事高级数学/解密研究的个人。
  • 这些受害者位于阿尔及利亚、阿富汗、比利时、巴西、斐济、德国、伊朗、印度、印度尼西亚、基里巴斯、马来西亚、巴基斯坦、叙利亚和俄罗斯。
  • 平台包含多种恶意工具,能够入侵受攻击组织的全部网络。该平台运用极其复杂的手段在受感染网络与指令和控制服务器之间进行通讯,从而暗中实现远程控制和数据传输。
  • 一个特殊的Regin组件能够掌控GSM基站控制器,收集GSM蜂窝与网络架构的相关数据。
  • 20084月,攻击者在仅一个月的时间里通过收集管理凭证控制了某中东国家的一个GSM网络。
  • 某些早期Regin样本似乎创建于2003年。

        2012年春天,卡巴斯基实验室专家就注意到了Regin恶意软件,而它似乎属于某一复杂间谍行动。在此后的近三年时间里,卡巴斯基实验室专家在全球范围内对该恶意软件进行追踪。这些恶意样本时常出现在各种多扫描服务中,他们功能隐蔽,彼此间不存在任何关联。然而,卡巴斯基实验室专家成功获取了若干真实世界攻击中的样本,攻击目标包括政府机构和电信运营商。这为进一步调查该威胁提供了足够的信息。

        进一步调查显示,Regin不仅是一个恶意程序,还是一个能够感染目标组织全部网络、以此获得全部远程控制权限的平台,一个包含多种组件的软件包。Regin的目的就是收集被入侵网络中的机密信息,实施多种类型的攻击。

        Regin平台的幕后攻击者运用设计周密的手段控制受感染网络。卡巴斯基实验室专家仔细检查了某国家的若干受感染组织,但是仅有一个组织被设定与另一国家的命令与控制服务器进行通讯。

        不仅如此,该地区的所有Regin受害者均被加入一个VPN式的对等网络中,相互间可以进行通讯。如此一来,攻击者便将被入侵组织转变成一个巨大的受害者联盟,通过单一入口点即可发送指令和窃取信息。卡巴斯基实验室的调查显示,攻击者已通过这种结构秘密行动多年,并且未引起怀疑。

        Regin平台的最初功能便是攻击GSM网络。根据卡巴斯基实验室专家在调查期间从GSM基站控制器上获取的活动日志,攻击者通过获取登录凭证控制了一家大型蜂窝技术运营商网络中的GSM蜂窝。这表明,他们可能已经获取了特定蜂窝所处理的电话信息,并将这些电话重定向至其它蜂窝,激活相邻的蜂窝,进行其它攻击活动。Regin的幕后攻击者是目前已知的唯一能够进行此类活动的团伙。

        “GSM网络入侵和控制功能或许就是这些攻击活动的最特别之处。当今世界,我们太过于依赖移动电话网络。对于终端用户而言,这些网络所依靠的陈旧的通讯协议并不安全。尽管所有GSM网络均采用嵌入机制,便于执法部门等团体追踪嫌疑人,但是其它团体也可以劫持该功能,向手机用户发起不同类型的攻击”,卡巴斯基实验室全球研究与分析团队总监Costin Raiu表示。

        请访问Securelist.com,阅读有关Regin平台的更多详情。