Специалисты "Лаборатории Касперского", которые вслед за коллегами из компании Symantec исследовали вирус Regin, пришли к выводу, что вредоносная программа, которая использовалась для кибератак в нескольких странах, оказалась первым зловредом, способным проникать в сотовые сети стандарта GSM и вести слежку за пользователями мобильной связи.
В сообщении отмечается, что вирус Regin позволяет злоумышленникам извлекать регистрационные данные для контроля GSM-ячеек в рамках сотовой сети телекоммуникационного оператора. Таким образом, они могут узнавать, какие звонки обрабатываются в конкретной ячейке сети, имеют возможность перенаправлять звонки в другие ячейки или активировать соседние, а также осуществлять другие вредоносные действия. Ни один другой известный вирус не обладает подобным функционалом.
"Способность проникать в GSM-сети, пожалуй, самый необычный и интересный аспект во всей вредоносной активности Regin. В современном мире мы слишком зависимы от мобильной связи, однако для ее реализации сегодня используются устаревшие коммуникационные протоколы, которые не способны в достаточной мере обеспечить безопасность конечного пользователя. С другой стороны, все GSM-сети имеют механизмы, которые позволяют правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает шанс злоумышленникам проникать в сеть и осуществлять вредоносные действия", - отметил руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского" Костин Райю.
Первые следы активности Regin были замечены экспертами "Лаборатории Касперского" еще весной 2012 года. Ряд образцов вируса был получен специалистами в ходе расследования кибератак на правительственные учреждения и телекоммуникационные компании - и именно это позволило получить достаточно данных для глубокого исследования вредоносной платформы.
Анализ зловреда показал, что платформа Regin включает в себя множество вредоносных инструментов и модулей, способных полностью заражать сети организаций и удаленно контролировать их на всех возможных уровнях. При этом зараженные сети могут коммуницировать друг с другом и обмениваться информацией. Это свойство вируса позволяет хакерам аккумулировать все нужные им данные на серверах лишь одной жертвы. Именно эта особенность платформы Regin и позволяла киберпреступникам действовать незаметно столь долгое время.
Напомним, что об обнаружении вируса Regin стало известно накануне. По данным экспертов Symantec, основными мишенями программы были телекоммуникационные компании и интернет-провайдеры. Кроме того, от вируса пострадали компании из гостиничной индустрии, правительственные учреждения, научно-исследовательские институты и частные лица.
При этом 28% кибератак при помощи Regin пришлось на Россию, а 24% случаев использования вируса было зафиксировано в Саудовской Аравии. По 9% атак пришлось на Ирландию и Мексику. Также Regin применялся в Индии, Афганистане, Иране, Бельгии, Австрии и Пакистане.
По одной из версий, Regin мог быть создан западными спецслужбами для кибершпионажа. В ее пользу свидетельствует и тот факт, что вирус Regin является исключительно сложным. По этому показателю он сопоставим с компьютерным червем Stuxnet, который был создан в 2010 и атаковал иранские ядерные объекты.