Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期，几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”（读音：reɪ*ɡən –与美国前总统里根名字的读音相似）。尽管我们无法将矛头直接指向某个特定国家并对次大加指责，但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。

就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后，其它公司的大量相关报告接踵而来，在最初的研究结果基础上加入了更多的新内容，这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。

Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4

— The Verge (@verge) November 23, 2014

据卡巴斯基实验室研究报告显示，Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视，但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM（全球移动通信系统）提供商，将前者成为攻击目标并无不寻常之处，但将后者作为攻击目标就有些让人感到奇怪了。

GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代（2G）移动通信技术（3G和4G网络的前一代产品）的话，你们一定会恍然大悟。然而据报道，GSM是大多数电信运营商所用移动网络的默认标准，供占全球移动通信市场90%份额的219个国家和地区使用。

“该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界，我们太过依赖于移动手机网络所采用的陈旧通信协议，同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制，允许执法机构追踪犯罪嫌疑人，这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。”

卡巴斯基实验室表示，这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证，从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时，就能通过基站控制器对电话进行管理。

“这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出，从而将这些电话重新传入其它的手机、激活临近的手机以及实施其它攻击活动。卡巴斯基实验室研究人员这样写道。”就目前看来，这些’Regin’背后的网络攻击者们是唯一已知的有能力实施此类操作的家伙。”

换句话说，”Regin”背后的犯罪分子无法仅仅被动地监控蜂窝通信元数据，但他们却能主动地将电话从一个号码重新定位到另一个号码。

据@卡巴斯基报告，#Regin# #APT#将普通受害人以及著名的密码破译者和GSM标准作为攻击目标

另一个奇特并让人感到好奇的地方是”Regin”网络攻击小组与比利时著名的密码破译者兼数学家Jean-Jacques Quisquater之间发生的真实案例。就在今年二月份，有关Quisquater个人计算机6个月前就已遭黑客入侵的报道相继出现。尽管将著名学者作为网络攻击目标的情况并不太常见，但”Quisquater事件”却稍有不同，因为这很容易让人们将针对Quisquater个人计算机的网络攻击与另一起针对比利时电信的攻击事件相联系。

之后即发生了爱德华•斯诺登指控美国国家安全局（NSA）及其英国”合作伙伴”英国政府通信总部密谋策划了这一攻击。当然，许多媒体网站相继表示这些相似点恰好证明了美国和英国情报机构正是这两次网络攻击的”元凶”。尽管无论是《卡巴斯基每日博客》还是卡巴斯基实验室都不能保证这些消息的可靠性，但当时依然有许多新闻网站报道了这一消息，因此还是值得提一提的。

除了”Quisquater事件”和针对GSM的网络攻击以外，”Regin”攻击平台依然显示出了其高超的技术，尤其是其”无孔不入”渗透能力。这些网络攻击者通过其命令基础设施建立后门，确保使用这些移动网络的受害人不会察觉。所有攻击活动的通信流量（包括：攻击者和他们的控制服务器之间传送，以及受害人手机和攻击基础设施之间传送）都经过了加密，确保此类攻击不会被察觉。

Absolutely #1 coverage of #Regin #malware espionage campaign, must read to get the whole picture: http://t.co/M1pEhnxCRa by @KimZetter

— Eugene Kaspersky (@e_kaspersky) November 24, 2014

大多数”Regin”的通信发生在受害人网络的多部受感染手机-被戏称为”通信蜂”之间。原因有两个：其一，能够深度访问手机的同时还可限制存在于网络中的传送至命令和控制服务器途中的数据流量。当你看到数据离开你的网络并传送至一个未知网络时，你就需要提高警惕了。因此在这样的网络内，由于使用了对等网络而使得网络监控器难以发现正在进行中的网络攻击活动。

在一个不便透露名字的中东国家，卡巴斯基实验室发现了所有该国受害的网络，在与所有其它网络间的通信就是采用了某种类型的对等结构。 受害网络还包括了总共办公室网络、一家研究中心网络、一家教育机构网络以及一家银行的网络。其中一个受害网络就包含了 “译码蜂”，从而能够将窃取的整个数据包传送到位于印度的命令和控制服务器。

“这是一个相当有趣的命令和控制机制，几乎不会引起任何的怀疑。”研究人员写到。”举个例子，如果所有发向总统办公室的命令通过某家银行的网络传送的话，那所有能被总统办公室网络系统管理员所看到的恶意流量只是与本国银行有关的内容。”

“Regin”分5个阶段部署，使得攻击者能够深入访问受害网络，因此在每个阶段都能装载所需的部分。第一阶段模块仅含有保存在受害人计算机内的可执行文件，全部经过虚假的微软和Broadcom数字证书签名，因此表面看似合法。

卡巴斯基产品从”Regin”平台所检测到的模块如下：Trojan.Win32.Regin.gen和Rootkit.Win32.Regin。如果你还想更深入地了解有关”Regin”平台内容，卡巴斯基实验室所发布的通篇技术文献可供您参阅。