viernes, 28 de noviembre de 2014

Regin: a malicious platform to spy GSM networks


Regin: a malicious platform to spy GSM networks

by Marcelo Lozano • 2014/11/25

Regin: una plataforma maliciosa para espiar redes GSM | IT Connect Latin American Chapter http://ow.ly/ERYwF

http://itclat.com/2014/11/25/regin-666/
traducido por Federico Dilla

inspirado por Marcelo Lozano
GENERAL PUBLISHER en IT CONNECT

Regin

The Global Research and Analysis Team at Kaspersky Lab has published his research on Regin - the first known cyber attack platform to penetrate and control the GSM networks in addition to other tasks "standard" cyber espionage.


The attackers behind this platform have compromised computer networks in at least 14 countries around the world, including Brazil.



The main victims of this actor are: telecom operators, governments, financial institutions, research organizations, multinational political organizations and individuals involved in advanced math / encryption research.

• The victims of this vector is found in Algeria, Afghanistan, Belgium, Brazil, Fiji, Germany, Iran, India, Indonesia, Kiribati, Malaysia, Pakistan, Syria and Russia.

Regin • The platform consists of multiple malicious tools capable of endangering the entire network of an attacked organization. The Regin platform uses a method of incredibly complex communication networks and servers infected command and control, which allows remote control and data transmission surreptitiously.

• A module Regin in particular is able to monitor drivers GSM base stations, gathering data on GSM cellular and network infrastructure.

• In the course of a single month in April 2008, the attackers collected administrative credentials that allowed them to manipulate a GSM network in a Middle Eastern country.

• Some of the first signs of Regin appear to have been created since 2003.


In the spring of 2012 Kaspersky Lab malware realized Regin, who seemed to belong to a sophisticated cyber-spying campaign. For almost three years Kaspersky Lab tracked this malware worldwide. Occasionally, signs appeared in various multi-scanner, but none was related services together, were cryptic functionality and devoid of context. However, Kaspersky Lab samples could get involved in several real attacks around the world, including those against government institutions and telecom operators, and this provided sufficient information to investigate this threat more fondo.Como result, the study found that Regin is not only a malicious program, but a platform - a software package that consists of several modules that can infect the entire network of target organizations to take complete control remotely all possible levels. The target region is the compilation of attacked confidential data networks and performing various other types of player ataques.El Regin behind the platform has a well developed control method infected networks. Kaspersky Lab observed several organizations committed in a country, but only one of them was programmed to communicate with the command and control server located in another country.However however, all victims of Regin in the region were connected by a network peer-to-peer VPN and were able to communicate. Therefore, attackers organizations became involved in a vast unified victim and were able to send commands and steal information through a single entry point. According to research by Kaspersky Lab this structure allowed the player to operate in silence for years without arousing suspicion.

The most original and interesting feature of Regin platform is its ability to attack the GSM networks. According to an activity log of a GSM Base Station Controller obtained by researchers at Kaspersky Lab during the investigation, the attackers were able to obtain credentials that allow them to control the GSM cellular network in the largest cellular operator. This means they could have had access to information about calls that are processed by a particular cell, redirect these calls to other cell, activate cellular neighbors and perform other offensive activities. At present, the attackers behind Regin are the only ones known to have been able to perform these operations.


"The ability to penetrate and control the GSM networks is perhaps the most unusual and interesting aspect of these operations. In today's world, we have become too dependent on mobile networks based on old communication protocols with little or no security available to the end user. Although all GSM networks have built-in mechanisms that allow institutions such as the police track down suspects, other parts can hack this skill and abuse it to launch various attacks against mobile users, "said Costin Raiu, Director of Global Equipment Research and Analysis at Kaspersky Lab.



Regin: una plataforma maliciosa para espiar redes GSM

Regin
Regin

El Equipo Global de Investigación y Análisis de Kaspersky Lab ha publicado su investigación sobre Regin– la primera plataforma de ataque cibernético conocida para penetrar y controlar las redes GSM, además de otras tareas “estándar” de ciberespionaje.

Los atacantes detrás de esta plataforma han puesto en peligro las redes informáticas en al menos 14 países de todo el mundo, incluyendo Brasil.

  • Las principales víctimas de este actor son: los operadores de telecomunicaciones, gobiernos, instituciones financieras, organizaciones de investigación, organismos políticos multinacionales e individuos involucrados en la investigación matemática / criptográfica avanzada.
    • Las víctimas de este vector se han encontrado en Argelia, Afganistán, Bélgica, Brasil, Fiji, Alemania, Irán, India, Indonesia, Kiribati, Malasia, Pakistán, Siria y Rusia.
    • La plataforma de Regin se compone de múltiples herramientas maliciosas capaces de poner en peligro a toda la red de una organización atacada. La plataforma Regin utiliza un método de comunicación increíblemente complejo entre las redes infectadas y servidores de comando y control, lo que permite el control remoto y la transmisión de datos de forma oculta.
    • Un módulo de Regin en particular es capaz de monitorear las estaciones base de controladores GSM, recopilando datos sobre los celulares GSM y la infraestructura de red.
    • En el transcurso de un solo mes en abril de 2008 los atacantes recopilaron credenciales administrativas que les permitían manipular una red GSM de un país del Medio Oriente.
    • Algunas de las primeras muestras de Regin parecen haber sido creadas desde el 2003.

    En la primavera de 2012 los expertos de Kaspersky Lab se dieron cuenta del malware Regin, que parecía pertenecer a una campaña de ciberespionaje sofisticado. Durante casi tres años los expertos de Kaspersky Lab rastrearon este malware por todo el mundo. De vez en cuando, muestras aparecían en diversos servicios multi-escáner, pero ninguno estaba relacionado entre sí, eran críptico en funcionalidad y carentes de contexto. Sin embargo, los expertos de Kaspersky Lab pudieron obtener muestras involucradas en varios ataques reales alrededor del mundo, incluyendo aquellos en contra de instituciones gubernamentales y operadores de telecomunicaciones, y esto ofreció suficiente información para investigar esta amenaza más a fondo.Como resultado, el estudio encontró que Regin no es sólo un programa malicioso, sino una plataforma – un paquete de software, que consiste de varios módulos, capaces de infectar a toda la red de las organizaciones blanco para tomar el control completo de manera remota de todos los niveles posibles. El objetivo de Regin es la compilación de datos confidenciales de las redes atacadas y la realización de varios otros tipos de ataques.El actor detrás de la plataforma Regin tiene un método bien desarrollado para el control de las redes infectadas. Los expertos de Kaspersky Lab observaron varias organizaciones comprometidas en un país, pero sólo una de ellas estaba programada para comunicarse con el servidor de comando y control ubicado en otro país.Sin embargo, todas las víctimas de Regin en la región estaban unidas por una red peer-to-peer de VPN y eran capaz de comunicarse entre sí. Por lo tanto, los atacantes tornaron a las organizaciones comprometidas en una vasta víctima unificada y fueron capaces de enviar comandos y robar información a través de un único punto de entrada. Según la investigación de Kaspersky Lab esta estructura le permitió al actor operar en silencio durante años sin levantar sospechas.
La característica más original e interesante de la plataforma Regin es su capacidad de atacar a las redes GSM. De acuerdo con un registro de actividad de un Controlador de Estación Base GSM obtenido por los investigadores de Kaspersky Lab durante la investigación, los atacantes fueron capaces de obtener las credenciales que les permitan controlar los celulares GSM en la red de un operador de celular grande. Esto significa que podrían haber tenido acceso a información sobre las llamadas que son procesadas por un celular en particular, redirigir estas llamadas a otros celulares, activar celulares vecinos y realizar otras actividades ofensivas. En la actualidad, los atacantes detrás de Regin son los únicos que se sabe han sido capaces de realizar este tipo de operaciones.
“La capacidad de penetrar y controlar las redes GSM es quizás el aspecto más inusual e interesante de estas operaciones. En el mundo actual, nos hemos vuelto demasiado dependiente de las redes de telefonía móvil que se basan en los protocolos de comunicación antiguos con poca o ninguna seguridad disponible para el usuario final. Aunque todas las redes GSM tienen mecanismos integrados que le permiten a entidades como la policía rastrear a sospechosos, otras partes pueden hackear esta habilidad y abusar de ella para poner en marcha diferentes ataques contra los usuarios móviles “, dijo Costin Raiu, Director del Equipo Global de Investigación y Análisis en Kaspersky Lab .



Regin: una plataforma maliciosa para espiar redes GSM | IT Connect Latin American Chapter http://ow.ly/ERYwF

http://itclat.com/2014/11/25/regin-666/
traducido por Federico Dilla

inspirado por Marcelo Lozano
GENERAL PUBLISHER en IT CONNECT
Portal de tecnología y Negocios para profesionales y tomadores de decisiones del mundo tecnológico en