Regin Platformu

VİRÜS TANIMI

Virüs Türü: Kötü Amaçlı Yazılım / Gelişmiş Kalıcı Tehdit (APT)

Regin nedir?

Regin diğer "standart" casusluk görevlerine ek olarak GSM ağlarını izleyebilen bir siber saldırı platformudur.

Regin kısaca saldırganların tüm olası düzeylerde uzaktan tam kontrol amacıyla kurbanların ağlarına yerleştirdikleri bir siber saldırı platformudur. Yapısı gereği son derece modüler olan bu platformun saldırının çeşitli bölümlerini tamamlaması için birkaç aşama vardır.

Kötü amaçlı yazılım tuş kayıtlarını toplayabilir, ekran görüntüleri alabilir, sistemden tüm dosyaları çalabilir, MS Exchange sunucularından e-postaları ve ağ trafiğinden tüm verileri çıkartabilir.

Ayrıca saldırganlar, GSM altyapısını kontrol eden bilgisayarlar olan GSM Baz İstasyonu Kontrol Cihazlarını ele geçirebilirler. Böylece GSM ağlarını kontrol edebilir ve aramalarla SMS'lerin engellenmesi dahil olmak üzere diğer saldırı türlerini başlatabilir.

Bu diğer APT saldırılarından nasıl farklıdır?

Şimdiye kadar gözlemlediğimiz en sofistike saldırılardan biridir. Bazı bakış açılarına göre bu platform bize başka bir sofistike kötü amaçlı yazılımı hatırlatıyor: Turla. Benzerliklerden bazıları arasında sanal dosya sistemlerinin kullanılması ve ağları birbirine bağlamak için iletişim parazitlerinin yerleştirilmesi bulunur. Ancak uygulama, kodlama yöntemleri, eklentiler, gizlenme teknikleri ve esneklik sayesinde Regin, şimdiye kadar analiz ettiğimiz en sofistike saldırı platformlarından biri olarak Turla'yı geride bıraktı. Bu grubun GSM ağlarına girme ve izleme yeteneği, muhtemelen bu operasyonların en sıra dışı ve ilginç yanıdır.

Kurbanlar kimlerdir? / Saldırıların hedefleri hakkında ne söyleyebilirsiniz?

Regin kurbanları aşağıdaki kategorilerde yer alır:

• Telekom operatörleri
• Devlet kurumları
• Çok uluslu politik kuruluşlar
• Finansal kuruluşlar
• Araştırma enstitüleri
• Gelişmiş matematiksel/kriptografik araştırmaya katılan kişiler

Şimdiye kadar saldırganların iki temel amacı olduğunu gözlemledik:

• İstihbarat toplama
• Diğer saldırı türlerine yardımcı olma

Şimdiye kadar 14 ülkede Regin kurbanları tespit edildi:

• Cezayir
• Afganistan
• Belçika
• Brezilya
• Fiji
• Almanya
• İran
• Hindistan
• Endonezya
• Kiribati
• Malezya
• Pakistan
• Rusya
• Suriye

Burada kurban tanımının bütün ağ dahil olmak üzere tam bir varlığı ifade ettiğinin altını çizmek gerekse de toplamda 27 farklı kurban saydık. Regin virüsü bulaşan benzersiz PC'lerin sayısı elbette çok daha fazladır.

Bu ulus devlet sponsorlu bir saldırı mıdır?

Regin geliştirmenin karmaşıklığı ve maliyeti göz önünde bulundurulduğunda bu operasyonun bir ulus devlet tarafından desteklenmesi olasıdır.

Regin'in arkasında hangi ülke var?

Söz konusu Regin'in ardındakiler gibi profesyonel saldırganlar olduğunda ilişkilendirme çok zor bir sorundur.

Kaspersky Lab bu kötü amaçlı yazılımın tüm varyantlarını algılar mı?

Kaspersky ürünleri, Regin platformundan şu modülleri algılar: Trojan.Win32.Regin.gen ve Rootkit.Win32.Regin.

Kurbanların izinsiz girişi tespit etmelerine yardımcı olacak Tehlike Belirtileri (IOC) var mıdır?

Evet, IOC bilgileri ayrıntılı teknik araştırma belgemizde yer almaktadır.