Praticamente chiunque si occupi di campagne APT (Advanced Persistent Threat) conosce la sofisticata piattaforma di attacco dal nome “Regin” (che si pronuncia come l’ex presidente statunitense Reagan). Quasi tutti gli esperti del settore ritengono si tratti di un’operazione lautamente finanziata da qualche governo, ma non si può risalire a quale con certezza.
Sembra che molti, tra persone e organizzazioni, stiano creando dei dossier su Regin; la scorsa settimana Symantec ha pubblicato la prima versione del proprio report, a partire dal quale sono comparsi altri report dello stesso genere. Più di un’azienda e diversi ricercatori (compreso il GreAT – Global Research and Analysis Team di Kaspersky Lab) considerano Regin la campagna APT più sofisticata ad oggi conosciuta.
Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4
— The Verge (@verge) November 23, 2014
In base a quanto scoperto da Kaspersky Lab, la campagna APT Regin colpisce società di telecomunicazioni, istituzioni governative, organizzazioni politiche operanti in varie nazioni, istituti finanziarie o di ricerca ed esperti in matematica avanzata e crittografia. I cybercriminali erano inizialmente interessati a raccogliere dati riservati (tra cui email e documenti) per favorire lo sviluppo di altre operazioni criminali. Il gruppo di hacker ha attaccato senza sosta non solo le compagnie di telecomunicazioni (il che ha senso) ma anche un fornitore di rete GSM, il che è piuttosto inusuale.
GSM è l’acronimo di Global System for Mobile Communications ed è lo standard di telefonia mobile cellulare. Il GSM più comune è lo standard di seconda generazione (2G), il predecessore delle reti 3G o 4G. Tuttavia, da quanto emerge dai vari report, il GSM è ancora lo standard di default delle reti mobili utilizzando dalla maggior parte delle compagnie di telecomunicazioni. È disponibile in 219 paesi e copre il 90% del mercato mobile delle telecomunicazioni.
L’aspetto più importante e insolito dell’operazione è probabilmente la capacità di penetrare e controllare le reti GSM”, ha dichiarato ieri il GreAT di Kaspersky Lab. “Oggigiorno siamo completamente dipendenti dalle reti cellulari che si basano su protocolli ormai antiquati e che offrono una protezione minima o addirittura assente per l’utente finale. Sebbene tutte le reti GSM siano dotate di certi meccanismi interni che consentono alle forze di polizia di rintracciare eventuali sospettati, anche altre persone potrebbero sfruttare tali meccanismi a proprio piacimento per attaccare gli utenti”.
Kaspersky Lab ritiene che i cybercriminali siano riusciti a rubare le credenziali di accesso da una Base Station Controller GSM (o anche BSC) interna appartenente a una grande compagnia di telecomunicazioni e a entrare nelle cellule GSM di una rete. Il nostro collega Mike Mimoso di Threatpost ci ha fatto notare che le BSC gestiscono le chiamate man mano che si spostano sulla rete mobile, forniscono risorse e consentono il trasferimento di dati.
“Ciò significa che i cybercriminali potrebbero aver avuto accesso alle chiamate passate attraverso una cellula, trasferito tali chiamate ad altre cellule, attivato cellule vicine e portato a termine altre attività criminali”, ha affermato il team dei ricercatori di Kaspersky Lab. “Al momento i cybercriminali che hanno creato Regin sono gli unici in grado di portare a termine questo genere di operazioni”.
In poche parole, questi cybercriminali non solo riescono a controllare i metadata delle comunicazioni via cellulare, ma anche a reindirizzare le chiamate da un numero a un altro.
Secondo @Kaspersky, l’#APT #Regin colpisce, oltre alle solite vittime, anche un sistema crittografico e uno standard GSM.
Tweet
Il gruppo di hacker ha anche coinvolto il rinomato crittografo e matematico belga Jean-Jacques Quisquater. A febbraio di quest’anno, in alcuni report è emerso che sei mesi prima era stato hackerato il computer personale di Quisquater. Non è così inusuale che i cybercriminali attachino i dispositivi degli esperti; tuttavia il caso di Quisquater è leggermente diverso in quanto sembra avere delle somiglianze con un attacco che ha interessato la società di telecomunicazioni Belgacom.
Questo incidente faceva parte delle rivelazioni di Edward Snowden, il quale ha dichiarato che l’attacco alla società belga era stato organizzato dall’NSA e dalla corrispettiva agenzia inglese GCHQ. Ovviamente molti media hanno sospettato, date le somiglianze, che dietro l’attacco a Quisquater ci fossero le intelligence inglese e americana. Sebbene né questo blog né Kaspersky Lab come azienda sostengano questa teoria, è indubbio che si è parlato spesso di questa particolarità su molte testate giornalistiche e vale la pena sottolinearlo.
Storia di Quisquater e GSM a parte, Regin è degno di nota in quanto si tratta di una campagna APT davvero sofisticata ed efficace. I cybercriminali hanno creato delle backdoor per l’infrastruttura di comando in modo da rimanere sulla rete delle vittime senza essere notati. Tutto il traffico dell’APT era in formato criptato in modo tale che nessuno potesse osservarne il comportamento, criptando sia il traffico tra i cybercriminali e i server di controllo, sia il traffico tra il dispositivo della vittima e le infrastrutture di attacco.
Absolutely #1 coverage of #Regin #malware espionage campaign, must read to get the whole picture: http://t.co/M1pEhnxCRa by @KimZetter
— Eugene Kaspersky (@e_kaspersky) November 24, 2014
La maggior parte delle comunicazioni di Regin avvengono tra dispositivi già infetti (una sorta di droni della comunicazione) sulla rete della vittima. Questo sistema è stato scelto per due ragioni: da un lato consente accesso totale ai cybercriminali, dall’altro limita lo scambio di dati tra la rete e il server command and control. Infatti, è possibile notare qualcosa che non va quando si registra un passaggio di dati da una certa rete a una rete sconosciuta. Grazie a questa comunicazione interna “peer-to-peer”, è più difficile registrare un flusso anomalo di dati, indice di un attacco in corso.
In un paese non specificato del Medio Oriente, ogni rete vittima identificata da Kaspersky Lab comunicava con tutte le altre reti secondo uno schema peer-to-peer. Nella rete globale c’erano l’ufficio del presidente di questo paese, un centro di ricerca, un centro educativo e una banca. In una di queste reti era presente un “drone” capace di inoltrare i pacchetti di dati rubati a un server command and control in India.
“Si tratta di un meccanismo command and control piuttosto interessante che riesce a passare inosservato”, ci spiegano i ricercatori. “Ad esempio, se tutti i comandi verso l’ufficio del presidente vengono inviati attraverso la rete della banca, tutto il traffico visibile dagli amministratori di sistema dell’ufficio del presidente sarà solo quello proveniente dalla banca dello stesso paese, mentre il resto del traffico al di fuori non verrà notato”.
Regin si organizza in cinque stadi in successione che danno ai cybercriminali l’accesso totale alla rete delle vittime. I moduli del primo stadio contengono solo il file eseguibile immagazzinato nel computer della vittma; questo e tutti gli altri moduli posseggono certificati digitali Microsoft e Broadcom in modo tale che sembrino file leggitimi.
I prodotti Kaspersky Lab individuano i seguenti moduli della piattaforma Regin: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin. Inoltre, Kaspersky Lab ha pubblicato un report tecnico dettagliato a disposizione di chiunque voglia approfondire l’argomento.