Plataforma maliciosa coloca em risco redes GSM
O time de Pesquisas e Analises Globais da Kaspersky Lab publicou uma pesquisa sobre o Regin – a primeira plataforma de ciber ataque conhecida que penetra e monitora redes GSM além de realizar outras tarefas de espionagem “padrão”. Os cibercriminosos por trás dessa plataforma comprometeram redes em, pelo menos, 14 países do mundo, incluindo Brasil.
espionagem digital
As principais vítimas desse ator são: operadoras de telefonia, governos, instituições financeiras, organizações de pesquisa, órgãos políticos multinacionais e indivíduos envolvidos em pesquisas avançada de matemática e criptografia.
As vítimas desse ator foram encontradas no Brasil, Argélia, Afeganistão, Bélgica, Fiji, Alemanha, Irã, Índia, Indonésia, Kiribati, Malásia, Paquistão, Síria e Rússia.
A plataforma Regin consiste em múltiplas ferramentas maliciosas capazes de comprometer a rede inteira de uma organização atacada. A plataforma Regin usa um método de comunicação incrível e complexo entre redes infectadas e servidores de comando e controle, permitindo controle remoto e transmissão de dados por furto.
Um módulo particular do Regin é capaz de monitorar estações base de controle GSM, coletando dados sobre celulares GSM e da infraestrutura de rede.
Apenas em abril de 2008 os cibercriminosos coletaram credenciais administrativas que permitiram a manipulação de uma rede GSM em um país do Oriente Médio.
O mais preocupante é que o Regin parece ter sido criado no início de 2003, agindo por mais de uma década.
Em 2012, especialistas da Kaspersky Lab descobriram o malware Regin, que parecia pertencer a uma campanha de espionagem sofisticada. Nos três anos subsequentes os especialistas da Kaspersky Lab rastrearam o malware em todo o mundo. De tempos em tempos, amostras apareciam em vários serviços multi-scanner, mas eles não eram correlacionados, eram enigmáticos em sua funcionalidade e não tinham contexto. Porém, os especialistas da Kaspersky Lab puderam obter amostras envolvidas em vários ataques no mundo real, incluindo aqueles contra instituições governamentais e operadoras de telefonia, e isso deu informações suficientes para uma pesquisa mais profunda desta ameaça.
Como resultado, o estudo constatou que o Regin não é apenas um único programa malicioso, mas uma plataforma – um pacote de software, que consiste em vários módulos, capazes de infectar toda a redes de organizações e orientado para assumir o controle remoto completo em todos os níveis possíveis. O Regin é destinado a recolher dados confidenciais das redes atacadas e realizar vários outros tipos de ataques.
O ator por trás da plataforma Regin tem um método bem desenvolvido para controlar as redes infectadas. Especialistas da Kaspersky Lab observaram várias organizações comprometidas em um país, mas apenas uma delas foi programada para se comunicar com o servidor de comando e controle localizado em outro país.
No entanto, todas as vítimas do Regin na região se uniram em uma rede ponto-a-ponto VPN, com capacidade para se comunicarem uns com os outros. Assim, os atacantes tornaram organizações comprometidas em uma única vítima, com capacidade de enviar comandos e roubar informações através de um único ponto de entrada. De acordo com a pesquisa da Kaspersky Lab, esta estrutura permitiu que o ator operasse silenciosamente durante anos sem levantar suspeitas.
A característica mais original e interessante da plataforma Regin, no entanto, é sua capacidade para atacar as redes GSM. De acordo com a Estação-Base de Controle GSM, obtido por pesquisadores da Kaspersky Lab durante a investigação, os atacantes obtiveram credenciais que lhes permitam controlar células GSM na rede de uma grande operadora de celular. Isso significa que eles poderiam ter tido acesso a informações sobre quais chamadas são processadas por uma célula particular, redirecionar essas chamadas para outras células, ativar as células vizinhas e realizar outras atividades ofensivas. No presente momento, os agressores por trás do Regin são os únicos que foram capazes de fazer tais operações.
“A capacidade para penetrar e monitorar as redes GSM é o aspecto mais interessante e incomum destas operações. No mundo de hoje, nós nos tornamos muito dependentes de redes de telefonia móvel que dependem de protocolos de comunicação antigos com pouca ou nenhuma segurança para o usuário final. Apesar de todas as redes GSM terem mecanismos embutidos, que permitem que entidades apliquem a lei para rastrear suspeitos, outros partidos podem roubar essa habilidade e abusar dela para lançar diferentes ataques contra usuários móveis”, diz Costin Raiu, diretor de Pesquisa Global e Time de Análise da Kaspersky Lab.