Троян Regin: хто шпигує за GSM через Windows?

image

В кількох останніх публікаціях нашого блогу ми розповідали про вразливості мереж мобільного зв'язку, а також можливості прослуховування на основі таких вразливостей. При цьому читачі в коментарях не раз висловлювали сумнів у тому, що можна ось так легко потрапити у внутрішню технологічну мережу оператора. Однак свіжий приклад з троянцем Regin показує, що це не тільки можливо, але і робилося систематично вже багато років.

Звіти про це троянця днями випустили Symantec (неділя) і «Лабораторія Касперського» (понеділок). В деяких деталях вони розходяться, але загальна картина така: троян є дуже серйозною розробкою і добре ховається, швидше за все він створений на державному рівні (Symantec прямо говорить про західній спецслужбі), основною його метою є шпигунство, а основними об'єктами атаки стали оператори зв'язку, через які цей шпигунство і здійснювався.

За даними звіту Symantec, троян Regin таємно працює аж з 2008 року. При цьому шпигунський софт інсталюється в чотири стадії, сліди присутності ретельно знищуються, тому на даний момент навіть складно сказати, як саме починається атака — можливо, через заражені сайти або через популярні месенджери. Будучи встановлено, Regin може перехоплювати трафік і логи, робити скріншоти, записувати кліки і рухи мишкою, читати видалені файли — загалом, повний шпигунський набір.

Більшість жертв даного трояна експерти Symantec виявили в Росії (28%) і Саудівської Аравії (24%), далі йдуть Мексика та Ірландія (9%), потім Індія, Іран, Пакистан, Афганістан, Бельгія та Австрія (5%). «Лабораторія Касперського» дає більш широку географію — сліди трояна знайшлися в 14 країнах, до попереднього списку додалися Німеччина, Бразилія, Індонезія, Малайзія, Сирія, Алжир, а також нешкідливі тихоокеанські острови Фіджі і Кірибаті.

При цьому ні Symantec, ні ЛК не говорять прямо, ким міг бути розроблений такий троян. Але підкреслюють, що така серйозна розробка, на яку пішли місяці або навіть роки, швидше за все велася «на державному рівні».

Втім, у звітах є деякі додаткові натяки. Наприклад, «Лабораторія Касперського» наводить статистику timestamps (відміток про те, в який час оновлювався код шкідників під час розробки). За отриманою статистики можна зробити висновок, що автори трояна працюють на повний день в офісі. І навіть з обідньою перервою:

image

Згідно зі статистикою Symantec, 28% жертв трояна — це телекоми, 48% — окремі особистості і малий бізнес. Інші заражені — державні, енергетичні, фінансові та дослідницькі компанії. «Лабораторія Касперського» уточнює, що серед «окремих осіб» троянець-шпигун особливо цікавився персонажами, які займаються математичними або криптографічними дослідженнями.

Експерти «ЛК» також відзначають як найбільш цікавий випадок атаку на великого GSM-оператора. Вони виявили лог, згідно з яким зловмисники за допомогою Regin отримали доступ до контролера базової станції (Ваse Station Controller) і могли змінювати налаштування, а також виконувати різні керуючі команди. Лог датований 2008 роком, але це не означає, що вірус перестав працювати. Просто з тих пір зловмисники могли поліпшити свою техніку «заметанія слідів» і перестали залишати подібні логи.

Таким чином, ми повертаємося до того, з чого почався цей пост: потрапити у внутрішню мережу оператора не так вже складно. Наприклад, тому, що компоненти мережі, включаючи і згадані вище базові станції, що будуються за модульним принципом — нові керуючі елементи накочуються поверх вже існуючого ПЗ, яке не оновлюється. В результаті система не тільки зберігає всі свої проблеми, але й набуває нові.

Зокрема, у деяких операторів велика кількість критичних систем, включаючи OSS, стоять на застарілій і непропатченной MS Windows. Більш докладно ми розповідали про такі проблеми безпеки в доповіді «П'ять кошмарів для телекому» на PHDays III (слайди, відео). А тут наведемо лише один наочний приклад такої «знахідки» — це був один з аудитів безпеки, що проводилися експертами Positive Technologies:

image

До речі, для любителів конспірології — ще одна цікава деталь зі звіту Symantec. В користувальницькому модулі трояна Regin знайдений командний файл, який володіє наступною функціональністю:

Skip Ukrainian or English Microsoft files when scanning


— тобто шпигунська програма чомусь не цікавиться файлами російською та англійською. У зв'язку з цим деякі експерти висувають припущення, що головною метою даного трояна є не Росія, а інші країни — арабські. Втім, ідея спірна. Адже мова йде лише про одну з конфігурацій трояна, яка потрапила в Symantec. Як зазначають самі дослідники, цей шпигунський софт дає широкі можливості для заточки під конкретного клієнта».

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.