Το malware με την ονομασία Regin είναι επιπλέον και μία κακόβουλη πλατφόρμα κατασκοπείας δικτύων GSM

[voltmod]

Στο ιδιαίτερα εξελιγμένο malware Regin αναφερθήκαμε πρόσφατα. Αν και είχε επισημανθεί ότι στοχεύει σε υπολογιστές Windows τελικώς το Regin έχει κατασκευαστεί για να καθιστά δυνατές και τις υποκλοπές και τις παρακολουθήσεις μέσω δικτύων GSM. Το Regin είναι ένα πραγματικό πολύ-εργαλείο για τον επιτιθέμενο.Σύμφωνα με την εταιρεία Kaspersky, το Regin είναι η πρώτη πλατφόρμα ψηφιακών επιθέσεων που μπορεί να διαπερνά και να παρακολουθεί GSM δίκτυα, πραγματοποιώντας παράλληλα και άλλες "τυπικές" εργασίες κατασκοπείας. Οι επιτιθέμενοι πίσω από την πλατφόρμα έχουν παραβιάσει δίκτυα υπολογιστών σε τουλάχιστον 14 χώρες.

 

Την άνοιξη του 2012, οι ειδικοί της Kaspersky Lab αντιλήφθηκαν για πρώτη φορά το κακόβουλο λογισμικό Regin, το οποίο φαινόταν να είναι μέρος μιας περίπλοκης εκστρατείας κατασκοπείας. Εδώ και τρία σχεδόν χρόνια, ίχνη του κακόβουλου λογισμικού έχουν εντοπιστεί σε όλο τον κόσμο. Κατά καιρούς, εμφανίζονταν δείγματα σε διάφορες multi-scanner υπηρεσίες, αλλά ήταν όλες άσχετες μεταξύ τους, με αινιγματική λειτουργικότητα και χωρίς συγκεκριμένο πλαίσιο. Ωστόσο, οι ειδικοί της Kaspersky Lab μπόρεσαν να απομονώσουν δείγματα που εμπλέκονταν σε διάφορες επιθέσεις, συμπεριλαμβανομένων και εκείνων κατά κυβερνητικών οργανισμών και παρόχων τηλεπικοινωνιών. Τα δείγματα αυτά παρείχαν επαρκή πληροφόρηση ώστε να προχωρήσει μια πιο ενδελεχής έρευνα σχετικά με την απειλή αυτή.

 

Η μελέτη των ειδικών της εταιρείας διαπίστωσε ότι το Regin δεν είναι απλώς ένα κακόβουλο πρόγραμμα, αλλά μια πλατφόρμα, ένα πακέτο λογισμικού αποτελούμενο από πολλαπλές μονάδες, οι οποίες μπορούν να "μολύνουν" ολόκληρο το δίκτυο των στοχοποιημένων οργανισμών, για να αποκτήσουν πλήρη απομακρυσμένο έλεγχο σε κάθε επίπεδο που αυτό ήταν δυνατόν. Σκοπός του Regin είναι η συγκέντρωση εμπιστευτικών δεδομένων μέσα από τα δίκτυα που δέχονται επίθεση και η εκτέλεση πολλών άλλων τύπων επιθέσεων.

 

Ο παράγοντας που βρίσκεται πίσω από την πλατφόρμα Regin διαθέτει μια πολύ καλά αναπτυγμένη μέθοδο για τον έλεγχο των δικτύων που έχουν "μολυνθεί". Οι ειδικοί της Kaspersky Lab εντόπισαν αρκετούς οργανισμούς που βρίσκονταν σε κίνδυνο σε μία χώρα, αλλά μόνο ένας από αυτούς ήταν προγραμματισμένος να επικοινωνεί με τον Command & Control server που βρισκόταν σε άλλη χώρα.

 

Ωστόσο, όλα τα θύματα του Regin στην περιοχή ενώθηκαν σε ένα peer-to-peer δίκτυο, που έμοιαζε με δίκτυο VPN, γεγονός που επέτρεπε την μεταξύ τους επικοινωνία. Έτσι, οι επιτιθέμενοι μετέτρεψαν τους παραβιασμένους οργανισμούς σε ένα πολύ μεγάλο, ενοποιημένο θύμα και ήταν σε θέση να στέλνουν εντολές και να υποκλέπτουν πληροφορίες μέσω ενός και μόνο σημείου εισόδου. Βάσει της έρευνας της Kaspersky Lab, η δομή αυτή επέτρεψε στον παράγοντα να λειτουργεί αθόρυβα για πολλά χρόνια χωρίς να εγείρει υποψίες.

 

Το πιο πρωτότυπο και ενδιαφέρον χαρακτηριστικό της πλατφόρμας Regin, όμως, είναι η ικανότητά της να επιτίθεται σε GSM δίκτυα. Σύμφωνα με ένα αρχείο καταγραφής δραστηριότητας σε έναν ελεγκτή σταθμού βάσης GSM που μελετήθηκε από τους ερευνητές της Kaspersky Lab, οι επιτιθέμενοι ήταν σε θέση να αποκτήσουν στοιχεία πρόσβασης που θα τους επέτρεπαν να ελέγχουν τις κυψέλες GSM του δικτύου μίας μεγάλης εταιρείας κινητής τηλεφωνίας. Αυτό σημαίνει ότι θα μπορούσαν να έχουν πρόσβαση σε πληροφορίες σχετικά με το ποιες κλήσεις βρίσκονται υπό την επεξεργασία μιας συγκεκριμένης κυψέλης GSM, να ανακατευθύνουν τις κλήσεις σε άλλες κυψέλες, να ενεργοποιούν γειτονικές κυψέλες και να εκτελούν άλλες επιθετικές δραστηριότητες. Προς το παρόν, οι επιτιθέμενοι πίσω από το Regin είναι οι μόνοι που έχει γνωστό ότι ήταν σε θέση να υλοποιήσουν τέτοιου είδους επιχειρήσεις.

 

Το Regin αποδεικνύεται ότι είναι μία απειλή με ιδιαίτερα πολύπλοκο και εκλεπτισμένο μηχανισμό που "χτυπάει" και δίκτυα GSM.

 

Πρόσφατα, η ομάδα CERT (Computer Emergency Readiness Team) στις Ηνωμένες Πολιτείες δημοσιοποίησε μία προειδοποίηση για το Regin. Αρκετοί που είδαν την ανακοίνωση, έσπευσαν να ειρωνευτούν, αφού οι περισσότεροι πιστεύουν ότι πίσω από τον κώδικα του Regin κρύβονται οι υπηρεσίες αντικατασκοπείας των Ηνωμένων Πολιτειών ή της Μ.Βρετανίας.

 

Το πιθανότερο είναι η ομάδα CERT ήθελε να αναγνωρίσει τις ανησυχίες των εταιρειών Symantec και Kaspersky, αν και η κίνηση μοιάζει... κωμική. Βεβαίως δεν είναι η πρώτη φορά που η ομάδα CERT δημοσιοποιεί προειδοποιήσεις, το έχει κάνει και στην περίπτωση του Stuxnet και του malware με την ονομασία Duqu.

 

Site: Kaspersky

Site: Engadget

[BadIronTree]

Όλοι ξέρουν τα πάντα και κάνουν τους  "Κινέζους"

[magic4spell]

Και εδώ πλέον τίθεται το ερώτημα : Δεν θα έπρεπε μια ψηφιακή υπηρεσία όπως το GSM  να παρέχει έστω και προαιρετικά μια δυνατότητα  ΚΩΔΙΚΟΠΟΊΗΣΗΣ?

Μήπως ήρθε ο καιρός να γίνει?

Και νομίζω οτι αν δεν ήταν ο Swoeden  δεν θα μαθαίναμε ποτε για αυτό..

Την δυνατότητα να χρησιμοποιηται τέτοιο λογισμικο για αναγνώριση τρομοκρατικών ενεργειών την αναγνωρίζω... 

Το ότι όμως αυτού του τύπου λογισμικά χρησιμοποιούνται για ''εμπορικο'' ανταγωνισμό ειναι απαραδεκτο.. Ετσι πχ  η Boing  μπορεί να ξέρει απο πριν την προσφορά της AirBus και να δωσει ανταγωνιστικοτερη προσφορα!!!!!!

Οπότε τώρα μην αναρωτιέστε γιατι ο Πουτιν το γύρισε στην γραφομηχανη!!!! Αντε να πάμε και στους παπύρους με το καλό...

[giodoul]

Ευτυχως που το Kaspersky ειναι ρωσικο και μας λεει καμια αληθεια!Απο τα αμερικανικων-εβραικων συμφερωντων αντιβαιρους τι να μαθεις?Ειναι τα ιδια προγραμματα υποκλοπων!

 

Sent from my iPad using Insomnia

[Spirit0r]

Και εδώ πλέον τίθεται το ερώτημα : Δεν θα έπρεπε μια ψηφιακή υπηρεσία όπως το GSM  να παρέχει έστω και προαιρετικά μια δυνατότητα  ΚΩΔΙΚΟΠΟΊΗΣΗΣ?

Μήπως ήρθε ο καιρός να γίνει?

 

 

 

Στο GSM υπάρχει χρόνια κρυπτογράφηση, o αλγοριθμος που χρησιμοποιείται ειναι ο Α5, βέβαια τα δικτυα κινητης υποστηριζουν και τους προηγουμενους αλγοριθμους π.χ. Α2, Α0 οι οποίοι μπορουν ευκολα να σπασουν. Έτσι λοιπόν μπορει καποιος να κανει downgrade στον κρυτογραφικο αλγοριθμο στέλνοντας ψευδη "στοιχεία" οταν γινεται το authentication με την κυψέλη.

Ο λόγος που υποστηρίζονται ακομα οι παλιοί αλγοριθμοι ειναι επειδή υπαρχουν ακομα κινητα 15ετιας τα οποια δεν υποστηριζουν τους νεωτερους κρυπτογραφικούς αλγοριθμους. Με συνεπεια εαν καταργησουν οι εταιριες κινητης τηλεφωνιας τους παλιους αλγοριθμους αυτοματα παυουν να λειτουργουν και τα κινητα αυτα. 

 

Βέβαια η επίθεση αυτη που έγινε ειναι στην κυψέλη που σημαίνει οποιαδήποτε κρυπτογραφηση υπαρχει εως εκεινο το σημείο εν μερη παυει να ισχύει, για παράδειγμα εαν ολη η πληροφορία ειναι κρυπτογραφημένη δε θα μπορέσει ο σταθμος να δρομοληγησέι την πληροφορια σε αλλο σταθμό. Δλδ ο σταθμος λαμβανει, αποκρυπτογραφει, βλεπει προορισμο, κρυπτογραφει και στελνει. Ετσι γινεται δλδ και στα VPN δικτυα και παντου, εαν γίνει compromise καποιος κομβος μπορεις να ξερεις τα παντα οτι κρυπτογραφηση και να γινει.

Και τις περισσοτερες φορες δεν εχει σημασια να ξερεις τι γραφει ολο το κειμενο αλλα μονο αποστολλεα και ληπτη καθως και την ενταση με την οποια συνομιλουν ωστε να βγαλεις συμπερασματα.