病毒定义
病毒类型:恶意软件/高级持续性威胁 (APT)
什么是 Regin?
Regin 是一个网络攻击平台,不仅能够监控 GSM 网络,还能够监控其他“标准”间谍任务。
简而言之,Regin 是攻击者能够部署在受害者网络中,对其中所有可能的层面实施终极远程控制的网络攻击平台。它在本质上来说是一个高度模块化的平台,通过多个阶段来实施各部分攻击。
恶意软件可以收集键盘记录、截屏、从系统窃取任意文件、从 MS Exchange 服务器提取电子邮件以及从网络通信中提取任意数据。
攻击者还可以入侵 GSM 基站控制器。基站控制器是控制 GSM 基础设施的计算机。攻击者可以通过这些控制器控制 GSM 网络以及发起其他类型的攻击,包括截获通话和短信。
此类攻击与任何其他 APT 攻击有何不同?
这是我们观察到的最复杂的攻击之一。从某些角度来看,该平台让我们想起另一个复杂的恶意软件:Turla。两者有一些相似之处,都使用虚拟文件系统,而且通过部署通信无人机来桥接网络。但 Regin 在实施、编码方法、插件、隐藏技巧和复杂性方面胜过 Turla,实属我们分析过的最复杂的攻击平台之一。这个团体能够侵入和监控 GSM 网络或许是其运作中最非同寻常、最令人关注的方面。
谁是受害者?/您对攻击目标有什么看法?
Regin 的受害者分为以下几类:
- 电信运营商
- 政府机构
- 跨国政治团体
- 金融机构
- 研究机构
- 参与高级数学/加密研究的个人
到目前为止,我们观察到攻击者有两个主要目标:
- 情报收集
- 协助其他类型的攻击
到目前为止,已有 14 个国家/地区发现了 Regin 的受害者:
- 阿尔及利亚
- 阿富汗
- 比利时
- 巴西
- 斐济
- 德国
- 伊朗
- 印度
- 印度尼西亚
- 基里巴斯
- 马来西亚
- 巴基斯坦
- 俄罗斯
- 叙利亚
我们总共统计出 27 个不同的受害者,但要指出的是,这里所说的受害者是指一个完整的实体,包括其全部网络。受到 Regin 感染的个体 PC 数量显然要高得多。
这是一个民族国家资助的攻击吗?
考虑到 Regin 开发的复杂性和成本,其运作很可能受到了某一民族国家的支持。
Regin 的后台是什么国家呢?
推断像 Regin 后台这样的专业攻击者必然是一个艰巨的难题。
卡巴斯基实验室是否检测到了该恶意软件的所有变体?
卡巴斯基产品检测到的 Regin 平台模块有:Trojan.Win32.Regin.gen 和 Rootkit.Win32.Regin。
是否有入侵指标 (IOC) 能够帮助受害者识别入侵?
有。IOC 信息已加入我们的详细技术研究论文中。
