Троян Regin: кто шпионит за русскими?

Мы уже рассказывали об уязвимостях сетей мобильной связи, а также о возможностях прослушки на основе таких уязвимостей. При этом некоторые «эксперты» выражали сомнение в том, что можно вот так легко попасть во внутреннюю технологическую сеть оператора. Однако свежий пример с троянцем Regin показывает, что это не только возможно, но и делалось систематически уже много лет.

Отчёты об этом троянце на днях выпустили Symantec (в воскресенье) и «Лаборатория Касперского» (в понедельник). В некоторых деталях они расходятся, но общая картина такова: троян является очень серьезной разработкой и хорошо скрывается, скорее всего он создан на государственном уровне (Symantec прямо говорит о западной спецслужбе), основной его целью является шпионаж, а основными объектами атаки стали операторы связи, через которые этот шпионаж и осуществлялся.

По данным отчёта Symantec, троян Regin скрытно работает аж с 2008 года. При этом шпионский софт инсталлируется в четыре стадии, следы присутствия тщательно уничтожаются, поэтому на данный момент даже сложно сказать, как именно начинается атака — возможно, через зараженные сайты или через мессенджеры. Будучи установлен, Regin может перехватывать трафик и логи, делать скриншоты, записывать клики и движения мышкой, читать удалённые файлы — в общем, полный шпионский набор.

Большинство жертв данного трояна эксперты Symantec обнаружили в России (28%) и Саудовской Аравии (24%), дальше идут Мексика и Ирландия (9%), затем Индия, Иран, Пакистан, Афганистан, Бельгия и Австрия (5%). «Лаборатория Касперского» даёт более обширную географию – следы трояна нашлись в 14 странах, к предыдущему списку добавились Германия, Бразилия, Индонезия, Малайзия, Сирия, Алжир, а также безобидные тихоокеанские острова Фиджи и Кирибати.

Троян Regin

При этом ни Symantec, ни ЛК не говорят прямо, кем мог быть разработан такой троян. Но подчёркивают, что столь серьезная разработка, на которую ушли месяцы или даже годы, скорее всего велась «на государственном уровне».

Впрочем, в отчётах есть некоторые дополнительные намеки. Например, «Лаборатория Касперского» приводит статистику timestamps (отметок о том, в какое время обновлялся код зловреда во время разработки). По полученной статистике можно сделать вывод, что авторы трояна работают на полный день в офисе. И даже с обеденным перерывом:

Троян Regin

Согласно статистике Symantec, 28% жертв трояна – это телекомы, 48% — отдельные личности и малый бизнес. Остальные зараженные — государственные, энергетические, финансовые и исследовательские компании. «Лаборатория Касперского» уточняет, что среди «отдельных личностей» троянец-шпион особенно интересовался персонажами, которые занимаются математическими или криптографическими исследованиями.

Эксперты «ЛК» также отмечают как наиболее интересный случай атаку на крупного GSM-оператора. Они обнаружили лог, согласно которому злоумышленники с помощью Regin получили доступ к контроллеру базовой станции (Ваse Station Controller) и могли менять настройки, а также выполнять различные управляющие команды. Лог датирован 2008 годом, но это не означает, что вирус перестал работать. Просто с тех пор злоумышленники могли улучшить свою технику «заметания следов» и перестали оставлять подобные логи.

Таким образом, мы возвращаемся к тому, с чего начался данный пост: попасть во внутреннюю сеть оператора не так уж сложно. Например, потому, что компоненты сотовой сети, включая и упомянутые выше базовые станции, строятся по модульному принципу — новые управляющие элементы ПО накатываются поверх уже существующего ПО, которое не обновляется. В результате система не только сохраняет все свои уязвимости, но и приобретает новые. В частности, у некоторых операторов большое количество критичных систем, включая OSS, стоят на устаревшей и непропатченной MS Windows.

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе Специальные устройства защиты информации. пользователем Proper на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@proru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Читайте также:

Комментарии о материале (сверху свежие):
  1. Gena (2014-12-05 18:56:15)
    Однако! А как Антивирусы на сей момент с этим справляются? И есть ли повод для паники для простого "юзера"?
  2. Mikhael-05 (2014-12-05 19:05:04)
    Кстати, может, поделимся кто чем предохраняется (если это не будет угрозой нам, если СБУ или др. службы бдят за нами)? У меня при WinXP защищает malwirebytes anti-malware как антивирус, был Supera AntiSpyware в качестве антишпиона-трояна- но он недавно перестал обновляться и вообще соединяться с своим сайтом (у меня) - снес.
  3. Proper (2014-12-05 19:22:59)
    Тормозите, Гена. Антивирусы не видят Регина с 2008 года, когда он начал гулять по миру. Он шесть лет бесконтрольно работал, и только сейчас о нем вообще стало известно. Антивирусы на сей момент не справляются с ним никак.
  4. Miledi (2014-12-05 20:31:44)
    остается голубиная почта и личное общение. )
  5. T 100 (2014-12-05 21:20:27)
    МВАМ - это отличнейший антишпион, а не антивирус. У меня -бесплатный сканер. С полгода назад видел в инете инфу от якобы хакера, что только МВАМ трудно обойти (совершенно отличающийся от других алгоритм работы) , с остальными антишпионами он справляется без проблем. А антивирус использую бесплатный АВАСТ. Кстати, может кто-то охарактеризует файервол Комодо - что-то он слишком хорош и функционален для бесплатного продукта.
  6. Mr.aerix (2014-12-05 21:32:36)
    хзчз. давно стоит купленный ДрВеб и ни одного косяка замечено не было
  7. Gena (2014-12-05 21:51:30)
    Реально не в курсе, ибо не "шанго" спец в тырнет-заразах. Да и не успеешь всё знать, хотя, Ёлы-палы, очень хочется!
  8. Gena (2014-12-05 21:54:10)
    Тож ДрВеб. Пока норм. Но не спец, мож и есть ловчее.ХЗ.
  9. Mikhael-05 (2014-12-05 22:00:06)
    Не знаю, не знаю MBAM (у меня Premium-версия) прекрасно предотвращает многочисленные входящие атаки - постоянно атакующие (т.н. inbound) ip-адреса (даже если браузер закрыт, но И-нет подключение включено) или сайты - всплывают в окошке уведомления как заблокированные, или outbound (видимо, когда что-то от программ или ОС пытается обновиться или отправить данные), ловит-карантинит самостоятельно установленное или скопированное "потенциально опасное" на области HDD), блокирует атакующие. Вот выше упомянутый SAS еще лучше (больше) 0находил троянцев и был более строг к куки-браузеров, explorer-а и т.п. в параметрах именно ручного поиска.
  10. ubobyr (2014-12-05 22:53:16)
    Не подкл. Комп с ценной инфой к сети. (От слова совсем)
  11. Grey67 (2014-12-05 23:30:30)
    Стоял DrWeb ещё v5 на станках (ну да, ЧПУ под Форточками ХР :) ) в заводской сети, стоял тихо-мирно-безпроблемно. Пока не прилетело конкретно. Долго перебирал, роя Сеть и подсовывая коллекции вирусни. Щас F-Secure Client на станциях и Emsisoft на моём серваке. Сисадмины ставят Касперыча - он типа корпоративно закупленный...
  12. Grey67 (2014-12-05 23:32:43)
    Не получается так, но резервировать-то никто же не запрещает ( в том числе шифроархивы в облако :) ).
  13. Владимир (2014-12-06 07:01:45)
    МВАМ и Каспер. Как-то мирно сосуществуют, дополняя друг друга. Если МВАМ не ловит, Каспер выщемляет, если Каспер спит, МВАМ работает. Бывает оба вместе сигналят.
  14. AndroID (2014-12-06 11:18:12)
    Давно пользуюсь ESET (триал-ключи отыскать в сети не проблема) + COMODO, как firewall, на ХРюше проблем вообще не наблюдал, на восьмерке иногда прибегаю к другим средствам. При этом ESET иной раз надоедает, уж больно он параноик, да и ресурсы начал поджирать. Надо откатиться на версию постарше. COMODO отличный фаервол, но требует предварительной настройки. Как настроить в инете инфы хватает, проблем не наблюдаю. Но в последнее время стал часть сайтов блокировать, например webarchive и vz.ru, как обойти пока не понял. А на телефоне Avast, одного трояна он мне таки выловил на андроиде.
  15. Hilur (2014-12-06 12:57:21)
    ESET Smart Security 8, но не обольщаюсь, ибо СШАшный продукт. Заранее допускаю наличие присутствия ЦРУ/АНБ на своём компьютере и всегда исхожу из этого. Главное - чтоб со "школотой" справлялся, большего и не требую. P.S. Та же паранойя и с сотовой связью. :)
  16. zeloone (2014-12-06 15:51:16)
    Примерно 5 лет пользую платный Аваст интернет секьюрити. Около 1700 р. на 3 компьютера на 3 года(сейчас, наверное, дороже). Ни разу не было проблем. На компьютеры которые чиню - ставлю Байду от китайских товарищей. ________________ На телефоне бесплатный Аваст, но к нему отношусь больше как к дани моде.
  17. Henren (2014-12-06 16:34:51)
    Комодо, в общем, неплох. Но все же для продвинутых юзеров.
  18. Henren (2014-12-06 16:36:20)
    Последний год использую Emsisoft, нареканий нет.
Чтобы писать свои комментарии - надо залогиниться на сайте. Тогда и вид комментариев станет более красивым.