DEFINIZIONE DEL VIRUS
Tipo di virus: malware/Advanced Persistent Threat (APT)
Che cos'è Regin?
Regin è una piattaforma di cyberattacco in grado di monitorare le reti GSM ed eseguire altre attività di spionaggio "standard".
In poche parole, Regin è una piattaforma di cyberattacco che gli hacker distribuiscono nelle reti utilizzate dalle vittime per avere il massimo livello possibile di controllo remoto. Grazie alla natura estremamente modulare della piattaforma, questo malware agisce seguendo diverse fasi, attraverso le quali portare a termine varie parti dell'attacco.
Può impadronirsi di password, fare screenshot, rubare qualsiasi tipo di file presente nel sistema, estrarre e-mail dai server di MS Exchange e i dati provenienti dal traffico di rete.
Gli hacker sono inoltre in grado di compromettere il Base Station Controller GSM, cioè il sistema di computer che controlla l'infrastruttura GSM. Questo permette loro di avere il controllo delle reti GSM e sferrare altri tipi di attacco, tra cui l'intercettazione di chiamate ed SMS.
Perché è diverso dagli altri attacchi APT?
Si tratta di uno degli attacchi più sofisticati mai conosciuti, anche se, sotto alcuni aspetti, questa piattaforma ricorda un altro malware dalla tecnologia sofisticata: Turla. Tra le diverse analogie troviamo l'utilizzo di file system virtuali e il dispiegamento di "droni per la comunicazione", attraverso i quali collegare insieme tutte le reti. Tuttavia, attraverso l'implementazione di queste tecniche, l'utilizzo di metodi di codifica, di plugin, e grazie alla grande capacità di nascondersi e alla flessibilità, Regin riesce a superare Turla poiché è una delle piattaforme di attacco informatico più sofisticate che siano mai state analizzate. L'aspetto più insolito e interessante di queste operazioni, è forse la capacità da parte di questo gruppo di penetrare e monitorare le reti GSM.
Chi sono le vittime? / Chi rientra tra gli obiettivi principali di questi attacchi?
Tra le vittime di Regin possono essere individuate le seguenti categorie:
- Operatori di telecomunicazioni
- Istituzioni governative
- Organi politici internazionali
- Istituzioni finanziarie
- Istituti di ricerca
- Individui coinvolti nella ricerca matematica e crittografica avanzata
Gli obiettivi principali degli hacker fino ad ora individuati sono due:
- La raccolta di informazioni
- La facilitazione nel lancio di altri tipi di attacco informatico
Le vittime di Regin finora identificate appartengono a 14 paesi:
- Algeria
- Afghanistan
- Belgio
- Brasile
- Fiji
- Germania
- Iran
- India
- Indonesia
- Kiribati
- Malesia
- Pakistan
- Russia
- Siria
Sono state contate in tutto 27 vittime diverse, sebbene sia necessario sottolineare che la definizione di vittima si riferisce qui a interi sistemi, che includono tutta la loro rete interna. Ovviamente, il numero dei singoli computer infetti da Regin è molto più alto.
Si tratta di un attacco sponsorizzato dagli stati nazionali?
Considerata la complessità e il costo dello sviluppo di un attacco Regin, è probabile che si tratti di un'operazione supportata da uno stato nazionale.
Quale paese si cela dietro Regin?
Imputare l'operazione a qualcuno è molto difficile quando si tratta di hacker professionisti come quelli che si nascondono dietro Regin.
Kaspersky Lab è in grado di rilevare tutte le varianti del malware?
I prodotti Kaspersky rilevano moduli appartenenti alla piattaforma Regin quali: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin.
Esistono degli indicatori di compromissione (IOC) che possano aiutare le vittime a identificare un'intrusione?
Si, le informazioni relative agli indicatori di compromissione si trovano nel nostro dettagliato articolo tecnico.
