Overslaan naar hoofdinhoud

Het Regin-platform

DEFINITIE VAN VIRUS

Type virus: Malware/Advanced Persistent Threat (APT)

Wat is Regin?

Regin is een platform voor cyberaanvallen dat GSM-netwerken kan monitoren en andere 'standaard' spionagetaken kan uitvoeren.

Kort gezegd is Regin een platform voor cyberaanvallen dat aanvallers implementeren in de netwerken van het slachtoffer voor ultieme controle op afstand op alle mogelijke niveaus. Het is een platform dat zeer modulair van aard is, met meerdere fasen om de diverse onderdelen van de aanval uit te voeren.

De malware kan toetsaanslagen registreren, screenshots maken, elk bestand uit het systeem stelen, e-mails van MS Exchange-servers ophalen en gegevens van netwerkverkeer verzamelen.

De aanvallers kunnen bovendien Base Station Controllers hacken. Dit zijn computers die de GSM-infrastructuur beheren. Dit geeft de aanvallers controle over GSM-netwerken en stelt ze in staat andere aanvallen uit te voeren, zoals het onderscheppen van telefoongesprekken en sms'jes.

Hoe verschilt dit van andere APT-aanvallen?

Het is een van de meest geavanceerde aanvallen die we ooit hebben gezien. In zekere zin doet het platform ons denken aan andere geavanceerde malware: Turla. Overeenkomsten zijn onder meer het gebruik van virtuele bestandssystemen en de implementatie van communicatiedrones om netwerken met elkaar te verbinden. Maar door de uitvoering, coderingsmethoden, plug-ins, verbergingstechnieken en flexibiliteit overtreft Regin Turla als een van de meest geavanceerde aanvalsplatformen die we ooit hebben geanalyseerd. Het vermogen van deze groep om door te dringen in GSM-netwerken en deze te monitoren, is misschien wel het meest ongewone en interessante aspect van deze aanvallen.

Wie zijn de slachtoffers? Wat valt er te zeggen over de doelwitten van de aanvallen?

De slachtoffers van Regin kunnen worden onderverdeeld in de volgende categorieën:

  • Telecomoperators
  • Overheidsinstellingen
  • Multinationale politieke organen
  • Financiële instellingen
  • Onderzoeksinstellingen
  • Personen betrokken bij geavanceerd wiskundig/cryptografisch onderzoek

Tot nu toe hebben we twee hoofddoelstellingen van de aanvallers waargenomen:

  • Informatie vergaren
  • Het vergemakkelijken van andere typen aanvallen

Tot op heden zijn er slachtoffers van Regin geïdentificeerd in 14 landen:

  • Algerije
  • Afghanistan
  • België
  • Brazilië
  • Fiji
  • Duitsland
  • Iran
  • India
  • Indonesië
  • Kiribati
  • Maleisië
  • Pakistan
  • Rusland
  • Syrië

In totaal telden we 27 verschillende slachtoffers, al moet worden opgemerkt dat de definitie van het begrip slachtoffer hier verwijst naar een volledige entiteit, inclusief hun hele netwerk. Het aantal unieke computers dat werd geïnfecteerd met Regin, is natuurlijk veel groter.

Is dit een door een regering gesteunde aanval?

Gezien de complexiteit en de kosten van de ontwikkeling van Regin is het waarschijnlijk dat deze aanval wordt ondersteund door een regering.

Welk land zit achter Regin?

Het blijft heel lastig om een aanval aan iemand toe te schrijven als het gaat om professionele aanvallers zoals de ontwikkelaars van Regin.

Detecteert Kaspersky Lab alle varianten van deze malware?

Kaspersky-producten detecteren modules van het Regin-platform als: Trojan.Win32.Regin.gen en Rootkit.Win32.Regin.

Is er een overzicht van aanwijzingen dat je bent getroffen waarmee slachtoffers de indringing kunnen identificeren?

Ja, IoC-informatie vind je in ons gedetailleerde technische onderzoeksrapport.

Het Regin-platform

Deze malware kan toetsaanslagen registreren, screenshots maken, elk bestand uit het systeem stelen, e-mails van MS Exchange-servers ophalen en gegevens van netwerkverkeer verzamelen.
Kaspersky logo

Gerelateerde artikelen