Virustype: Malware/avanceret, vedvarende trussel (APT)
Regin er en cyberangrebsplatform, som, ud over andre "standard"spionopgaver, kan overvåge GSM-netværk.
Kort sagt: Regin er en cyberangrebsplatform, som angriberne implementerer i offerets netværk for ultimativ fjernstyring på alle mulige niveauer. Med en platform, som er ekstremt modulær af natur, har den flere trin til at udføre forskellige dele af angrebet.
Malwaren kan indsamle keylogs, lave screenshots, stjæle enhver fil fra systemet, udtrække e-mails fra Microsoft Exchange-servere og alle data fra netværkstrafik.
Derudover kan angriberne kompromittere GSM Base Station Controllers, som er computere, der styrer GSM-infrastrukturen. Dette gør dem i stand til at styre GSM-netværk og starte andre former for angreb, herunder aflytning af telefonsamtaler og sms'er.
Det er et af de mest sofistikerede angreb, vi nogensinde har observeret. Fra nogle synspunkter minder platformen os om en anden avanceret malware: Turla. Nogle ligheder omfatter brugen af virtuelle filsystemer og implementering af kommunikationsdroner til at broforbinde netværk. Men via deres implementering, kodningsmetoder, plugins, skjulningsteknikker og fleksibilitet overgår Regin Turla som en af de mest sofistikerede angrebsplatforme, vi nogensinde har analyseret. Denne gruppes evne til at penetrere og overvåge GSM-netværk er måske det mest usædvanlige og interessante aspekt ved disse operationer.
Ofrene for Regin kan inddeles i følgende grupper:
Indtil videre har vi observeret to hovedmål fra angriberne:
Indtil videre har Regin-ofrene befundet sig i 14 lande:
I alt har vi opsporet 27 forskellige ofre, selv om det skal påpeges, at definitionen af et offer her refererer til en hel enhed, herunder hele dens netværk. Antallet af unikke pc'er, der er inficeret med Regin, er naturligvis meget, meget højere.
I betragtning af kompleksiteten af og omkostningerne ved udviklingen af Regin er det sandsynligt, at denne aktivitet understøttes af en nationalstat.
Navngivelse er fortsat et meget vanskeligt problem med hensyn til professionelle angribere, som dem, der står bag Regin.
Kasperskys produkter registrerer moduler fra Regin-platformen, f.eks.: Trojan.Win32.Regin.gen og Rootkit.Win32.Regin.