A plataforma Regin

DEFINIÇÃO DO VÍRUS

Tipo de vírus: malware/ameaça persistente avançada (APT)

O que é Regin?

Regin é uma plataforma de ataque virtual capaz de monitorar redes GSM, além de outras tarefas de espionagem “comuns”.

Ou seja, o Regin é uma plataforma de ataque virtual que os invasores implantam nas redes das vítimas para controlar remotamente todos os níveis possíveis. Com uma plataforma de natureza extremamente modular, ele tem diversas fases para realizar as várias partes do ataque.

O malware consegue coletar pressionamentos de teclas, fazer capturas de tela, roubar arquivos do sistema, extrair e-mails de servidores MS Exchange e também dados do tráfego de rede.

Além disso, os invasores podem comprometer os controladores da estação-base GSM, que são os computadores que controlam a infraestrutura GSM. Assim, eles conseguem controlar as redes GSM e iniciar outros tipos de ataques, incluindo a interceptação de chamadas e mensagens SMS.

Qual é a diferença entre esse e os outros ataques de APTs?

Esse é um dos ataques mais sofisticados já observados. De alguns pontos de vista, a plataforma lembra outro malware sofisticado: o Turla. Entre as semelhanças, estão o uso de sistemas de arquivos virtuais e a implantação de drones de comunicação para unir as redes. Ainda assim, por meio de sua implementação, métodos de códigos, plug-ins, técnicas de ocultação e flexibilidade, o Regin supera o Turla como uma das plataformas de ataque mais sofisticadas que já analisamos. A capacidade que esse grupo tem de invadir e monitorar redes GSM talvez seja o aspecto mais incomum e interessante dessas operações.

Quem são as vítimas? / O que vocês podem dizer sobre os alvos dos ataques?

As vítimas do Regin se enquadram nas seguintes categorias:

• Operadoras de telecomunicações
• Instituições governamentais
• Organizações políticas internacionais
• Instituições financeiras
• Institutos de pesquisa
• Pessoas envolvidas em pesquisas matemáticas/criptográficas avançadas

Até agora, observamos que os invasores têm dois objetivos principais:

• Coleta de informações
• Facilitação de outros tipos de ataque

Até hoje, foram identificadas vítimas do Regin em 14 países:

• Argélia
• Afeganistão
• Bélgica
• Brasil
• Fiji
• Alemanha
• Irã
• Índia
• Indonésia
• Kiribati
• Malásia
• Paquistão
• Rússia
• Síria

No total, contabilizamos 27 vítimas diferentes, embora essa definição de vítima se refere a uma entidade integral, incluindo toda a sua rede. O número de computadores únicos infectados pelo Regin, obviamente, é muito maior.

Esse ataque é patrocinado por alguma nação-estado?

Considerando a complexidade e o custo de desenvolvimento do Regin, provavelmente essa operação tem o respaldo de uma nação-estado.

Que país está por trás do Regin?

Essa atribuição continua sendo muito difícil quando envolve invasores profissionais, como os que estão por trás do Regin.

A Kaspersky Lab detecta todas as variações desse malware?

Os produtos da Kaspersky detectam módulos da plataforma Regin, como: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin.

Existem indicadores de comprometimento (IoCs) para ajudar as vítimas a identificar a invasão?

Sim, as informações de IoCs estão disponíveis no artigo de pesquisa técnico detalhado.