Tipo de vírus: malware/ameaça persistente avançada (APT)
Regin é uma plataforma de ataque virtual capaz de monitorar redes GSM, além de outras tarefas de espionagem “comuns”.
Ou seja, o Regin é uma plataforma de ataque virtual que os invasores implantam nas redes das vítimas para controlar remotamente todos os níveis possíveis. Com uma plataforma de natureza extremamente modular, ele tem diversas fases para realizar as várias partes do ataque.
O malware consegue coletar pressionamentos de teclas, fazer capturas de tela, roubar arquivos do sistema, extrair e-mails de servidores MS Exchange e também dados do tráfego de rede.
Além disso, os invasores podem comprometer os controladores da estação-base GSM, que são os computadores que controlam a infraestrutura GSM. Assim, eles conseguem controlar as redes GSM e iniciar outros tipos de ataques, incluindo a interceptação de chamadas e mensagens SMS.
Esse é um dos ataques mais sofisticados já observados. De alguns pontos de vista, a plataforma lembra outro malware sofisticado: o Turla. Entre as semelhanças, estão o uso de sistemas de arquivos virtuais e a implantação de drones de comunicação para unir as redes. Ainda assim, por meio de sua implementação, métodos de códigos, plug-ins, técnicas de ocultação e flexibilidade, o Regin supera o Turla como uma das plataformas de ataque mais sofisticadas que já analisamos. A capacidade que esse grupo tem de invadir e monitorar redes GSM talvez seja o aspecto mais incomum e interessante dessas operações.
As vítimas do Regin se enquadram nas seguintes categorias:
Até agora, observamos que os invasores têm dois objetivos principais:
Até hoje, foram identificadas vítimas do Regin em 14 países:
No total, contabilizamos 27 vítimas diferentes, embora essa definição de vítima se refere a uma entidade integral, incluindo toda a sua rede. O número de computadores únicos infectados pelo Regin, obviamente, é muito maior.
Considerando a complexidade e o custo de desenvolvimento do Regin, provavelmente essa operação tem o respaldo de uma nação-estado.
Essa atribuição continua sendo muito difícil quando envolve invasores profissionais, como os que estão por trás do Regin.
Os produtos da Kaspersky detectam módulos da plataforma Regin, como: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin.
Sim, as informações de IoCs estão disponíveis no artigo de pesquisa técnico detalhado.