Virüs Türü: Kötü Amaçlı Yazılım / Gelişmiş Kalıcı Tehdit (APT)
Regin diğer "standart" casusluk görevlerine ek olarak GSM ağlarını izleyebilen bir siber saldırı platformudur.
Regin kısaca saldırganların tüm olası düzeylerde uzaktan tam kontrol amacıyla kurbanların ağlarına yerleştirdikleri bir siber saldırı platformudur. Yapısı gereği son derece modüler olan bu platformun saldırının çeşitli bölümlerini tamamlaması için birkaç aşama vardır.
Kötü amaçlı yazılım tuş kayıtlarını toplayabilir, ekran görüntüleri alabilir, sistemden tüm dosyaları çalabilir, MS Exchange sunucularından e-postaları ve ağ trafiğinden tüm verileri çıkartabilir.
Ayrıca saldırganlar, GSM altyapısını kontrol eden bilgisayarlar olan GSM Baz İstasyonu Kontrol Cihazlarını ele geçirebilirler. Böylece GSM ağlarını kontrol edebilir ve aramalarla SMS'lerin engellenmesi dahil olmak üzere diğer saldırı türlerini başlatabilir.
Şimdiye kadar gözlemlediğimiz en sofistike saldırılardan biridir. Bazı bakış açılarına göre bu platform bize başka bir sofistike kötü amaçlı yazılımı hatırlatıyor: Turla. Benzerliklerden bazıları arasında sanal dosya sistemlerinin kullanılması ve ağları birbirine bağlamak için iletişim parazitlerinin yerleştirilmesi bulunur. Ancak uygulama, kodlama yöntemleri, eklentiler, gizlenme teknikleri ve esneklik sayesinde Regin, şimdiye kadar analiz ettiğimiz en sofistike saldırı platformlarından biri olarak Turla'yı geride bıraktı. Bu grubun GSM ağlarına girme ve izleme yeteneği, muhtemelen bu operasyonların en sıra dışı ve ilginç yanıdır.
Kurbanlar kimlerdir? / Saldırıların hedefleri hakkında ne söyleyebilirsiniz?
Regin kurbanları aşağıdaki kategorilerde yer alır:
Şimdiye kadar saldırganların iki temel amacı olduğunu gözlemledik:
Şimdiye kadar 14 ülkede Regin kurbanları tespit edildi:
Burada kurban tanımının bütün ağ dahil olmak üzere tam bir varlığı ifade ettiğinin altını çizmek gerekse de toplamda 27 farklı kurban saydık. Regin virüsü bulaşan benzersiz PC'lerin sayısı elbette çok daha fazladır.
Regin geliştirmenin karmaşıklığı ve maliyeti göz önünde bulundurulduğunda bu operasyonun bir ulus devlet tarafından desteklenmesi olasıdır.
Söz konusu Regin'in ardındakiler gibi profesyonel saldırganlar olduğunda ilişkilendirme çok zor bir sorundur.
Kaspersky ürünleri, Regin platformundan şu modülleri algılar: Trojan.Win32.Regin.gen ve Rootkit.Win32.Regin.
Evet, IOC bilgileri ayrıntılı teknik araştırma belgemizde yer almaktadır.