Regin: Uma plataforma maliciosa capaz de espiar redes GSM incluindo Brasil
- Fonte/Autoria.: Thais Sabatini
quarta-feira, 26 de novembro de 2014
Regin: Uma plataforma maliciosa capaz de espiar redes GSM incluindo Brasil
O Time Global de Pesquisas e Analises Globais da Kaspersky Lab publicou uma pesquisa sobre o Regin – a primeira plataforma de ciber ataque conhecida que penetra e monitora redes GSM além de realizar outras tarefas de espionagem “padrão”. Os cibercriminosos por trás dessa plataforma comprometeram redes em, pelo menos, 14 países do mundo, incluindo Brasil.
Fatos sobre o Regin:
As principais vítimas desse ator são: operadoras de telefonia, governos, instituições financeiras, organizações de pesquisa, órgãos políticos multinacionais e indivíduos envolvidos em pesquisas avançada de matemática e criptografia.
As vítimas desse ator foram encontradas no Brasil, Argélia, Afeganistão, Bélgica, Fiji, Alemanha, Irã, Índia, Indonésia, Kiribati, Malásia, Paquistão, Síria e Rússia.
A plataforma Regin consiste em múltiplas ferramentas maliciosas capazes de comprometer uma rede inteira de uma organização atacada. A plataforma Regin usa um método de comunicação incrível e complexo entre redes infectadas e servidores de comando e controle, permitindo controle remoto e transmissão de dados por furto.
Um módulo particular do Regin é capaz de monitorar estações base de controle GSM, coletando dados sobre celulares GSM e da infraestrutura de rede.
Apenas em abril de 2008 os cibercriminosos coletaram credenciais administrativas que permitiram a manipulação de uma rede GSM em um país do Oriente Médio.
Algumas das amostras mais recentes do Regin parecem ter sido criadas no início de 2003.
Na primavera de 2012 especialistas da Kaspersky Lab descobriram o malware Regin, que parecia pertencer a uma campanha de espionagem sofisticada. Nos três anos subsequentes os especialistas da Kaspersky Lab rastrearam o malware em todo o mundo. De tempos em tempos, amostras apareciam em vários serviços multi-scanner, mas eles não eram correlacionados, eram enigmáticos em sua funcionalidade e não tinham contexto. Porém, os especialistas da Kaspersky Lab puderam obter amostras envolvidas em vários ataques no mundo real, incluindo aqueles contra instituições governamentais e operadoras de telefonia, e isso deu informações suficientes para uma pesquisa mais profunda desta ameaça.
Como resultado, o estudo constatou que o Regin não é apenas um único programa malicioso, mas uma plataforma - um pacote de software, que consiste em vários módulos, capazes de infectar toda a redes de organizações e orientado para assumir o controle remoto completo em todos os níveis possíveis. O Regin é destinado a recolher dados confidenciais das redes atacadas e realizar vários outros tipos de ataques.
O ator por trás da plataforma Regin tem um método bem desenvolvido para controlar as redes infectadas. Especialistas da Kaspersky Lab observaram várias organizações comprometidas em um país, mas apenas uma delas foi programada para se comunicar com o servidor de comando e controle localizado em outro país.
No entanto, todas as vítimas do Regin na região se uniram em uma rede ponto-a-ponto VPN, com capacidade para se comunicarem uns com os outros. Assim, os atacantes tornaram organizações comprometidas em uma única vítima, com capacidade de enviar comandos e roubar informações através de um único ponto de entrada. De acordo com a pesquisa da Kaspersky Lab, esta estrutura permitiu que o ator operasse silenciosamente durante anos sem levantar suspeitas.
A característica mais original e interessante da plataforma Regin, no entanto, é sua capacidade para atacar as redes GSM. De acordo com a Estação-Base de Controle GSM, obtido por pesquisadores da Kaspersky Lab durante a investigação, os atacantes obtiveram credenciais que lhes permitam controlar células GSM na rede de uma grande operadora de celular. Isso significa que eles poderiam ter tido acesso a informações sobre quais chamadas são processadas por uma célula particular, redirecionar essas chamadas para outras células, ativar as células vizinhas e realizar outras atividades ofensivas. No presente momento, os agressores por trás do Regin são os únicos que foram capazes de fazer tais operações.
"A capacidade para penetrar e monitorar as redes GSM é o aspecto mais interessante e incomum destas operações. No mundo de hoje, nós nos tornamos muito dependentes de redes de telefonia móvel que dependem de protocolos de comunicação antigos com pouca ou nenhuma segurança para o usuário final. Apesar de todas as redes GSM terem mecanismos embutidos, que permitem que entidades apliquem a lei para rastrear suspeitos, outros partidos podem roubar essa habilidade e abusar dela para lançar diferentes ataques contra usuários móveis”, diz Costin Raiu, diretor de Pesquisa Global e Time de Análise da Kaspersky Lab.
Leia mais sobre a plataforma Regin no Securelist.com
Sobre a Kaspersky Lab
A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de Proteção de Endpoint. A empresa está classificada entre as quatro maiores do mundo fornecedoras de soluções de segurança para usuários de endpoint*. Ao longo de sua história de mais de 17 anos a Kaspersky Lab manteve-se como uma companhia inovadora em segurança de TI e fornecedora de soluções de segurança digital eficazes para grandes empresas, PMEs e consumidores finais. A Kaspersky Lab, tem sua holding registrada no Reino Unido e atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários. Saiba mais em www.kaspersky.com.br
Assinar:
Postagens (Atom)