Details zu Modulen der Regin-Plattform veröffentlicht

Die schädliche Plattform Regin, die zum Geheimnisdiebstahl bei Regierungsagenturen, Banken und Betreibern von GSM-Netzen eingesetzt wurde, hat die Aufmerksamkeit von IT-Sicherheitsexperten auf sich gezogen, die sie als eine der fortschrittlichsten Plattformen überhaupt bezeichnen, noch vor Flame, Duqu und sogar Stuxnet.

Die Experten von Kaspersky Lab erklärten, dass Regin für Angriffe auf große Organisationen oder Einzelpersonen konstruiert worden sein könnte, wobei sie darauf hinwiesen, dass der berühmte Kryptograf Jean Jacques Quisquater zu einem der ersten Opfer von Regin gehörte.

Einzelheiten über zwei Regin-Module wurden vom Global Research and Analysis Team, GreAT, von Kaspersky Lab veröffentlicht. Eins dieser Module wird zur Querverbreitung benutzt, während das andere eine Backdoor zum Absaugen von Informationen von kompromittierten Rechnern installiert wird.

Die Forscher Costin Raiu und Igor Soumenkov kamen zu dem Schluss, dass die Module mit den Bezeichnungen Hopscotch und Legspin aller Wahrscheinlichkeit nach von den Regin-Betreibern aus dem Verkehr gezogen und durch neue Module ersetzt worden sind. Die Autorenschaft ist und bleibt ein Rätsel von Regin, obgleich es einige Hinweise darauf gibt, dass die NSA oder das britische Government Communications Headquarters beteiligt sein könnten.

Regin wurde im November von Kaspersky Lab entdeckt, wobei das russische Sicherheitsunternehmen erklärte, den Schädling auf Windows-Systemen gefunden zu haben, die zu 27 Organisationen in 14 Ländern gehören, zum größten Teil in Asien und dem Mittleren Osten. Die GSM-Ausrichtung von Regin ist ein für APT-Attacken nahezu einmaliges Merkmal und zudem ein überaus beunruhigendes, bedenkt man die schwache Sicherheit der Protokolle, die im Mobilfunk verwendet werden.

Laut Kaspersky Lab konnten Cyberkriminelle Account-Daten von dem internen GSM Base Station Controller stehlen, die großen Mobilfunkgesellschaften gehören, wodurch sie sich Zugriff auf die GSM-Waben dieses konkreten Netzes verschaffen konnten. Die Base Station Controller steuern die Abwicklung der Aufrufe über das mobile Netz, indem sie die Ressourcen verteilen. Mit diesem Zugriff erhalten Cyberkriminelle Informationen über Aufrufe, die von bestimmten Waben verarbeitet werden, sie sind zudem in der Lage, die Aufrufe umzuleiten, andere Waben zu aktivieren und Daten zu stehlen.

„Zum gegenwärtigen Zeitpunkt sind die Kriminellen, die hinter Regin stecken, die einzigen, von denen wir wissen, dass sie in der Lage sind, derartige Operationen durchzuführen“, ergänzt Raiu.

Der neue Bericht enthält eine tiefer gehende Analyse zweier von insgesamt vier Modulen, die zu Regin gehören (Hash, Kompilierungsdaten, Dateitypen und Dateigrößen sind im Blog auf der Securelist aufgeführt).

„Ungeachtet der allgemeinen Komplexität (die teilweise schon als Over-Engineering zu bezeichnen ist) der Plattform Regin, sind diese Tools einfach, gradlinig und mit interaktiven Konsoleninterfaces für die Regin-Betreiber ausgestattet“, schreiben die Experten. „Interessant macht sie die Tatsache, dass sie bereits vor vielen Jahren entwickelt wurden und möglicherweise noch vor der Plattform Regin selbst geschaffen wurden.“

Hopscotch ist beispielsweise ein autonomes Tool, das von Cyberkriminellen für die Querverbreitung verwendet wird. Es benutzt die gestohlenen Account-Daten, um sich auf entfernten Computern zu authentifizieren und enthält keine Exploits, wie Raiu und Soumenkov erklärten.

„Das Modul erhält den Namen des Zielrechnern und einen optionalen entfernten Dateinamen aus dem StandardInput (Operator)“, schreiben Raiu und Soumenkov. Die Internetkriminellen können bei jedem Start unter mehreren Optionen wählen. Das Tool stellt für Menschen lesbare Antworten und Vorschläge für möglichen Input bereit.“

Das Modul erstellt einen neuen Service, um eine von einem entfernten Server stammende Payload zu starten, unter Verwendung eines Zwei-Wege-verschlüsselten Kanals. In eine Richtung geht der Input vom Betreiber an die Payload, in die andere Richtung werden Daten von der Payload in den StandardInput geschrieben. Aus Gründen der Nachhaltigkeit schleust die ausführbare Datei sich selbst in einen neuen Prozess ein und der entfernte Betreiber kann mit dem Modul interagieren.

„Nach Beendigung löscht das Tool die entfernte Datei und schließt die Authentifizierungssitzung und beseitigt so erfolgreich alle Spuren seiner Aktivität“, schreiben Raiu und Soumenkov.

Legspin ist ein anderes autonomes Modul, es handelt sich dabei um ein Befehlszeilentool zur Verwaltung des Computers und es funktioniert als Backdoor.

„Bemerkenswert ist, dass das Programm über volle Konsolenunterstützung verfügt und Daten – wenn es lokal läuft – farbig ausgibt“, erläutern Raiu und Soumenkov. „Es kann sogar Konsolen, die Windows Console API unterstützen, und TTY-kompatible Terminals unterscheiden, die ESC-Code zum Kolorieren akzeptieren.“

Im Modul wurden Belege dafür gefunden, dass es in den Jahren 2002-2003 geschaffen wurde, es verwendet auch veraltete API-Funktionen, wie z.B. NetBIOS, das seit dem Start von Vista nicht mehr in Windows empfohlen wird. Dieses Modul gibt einem Cyberkriminellen die Möglichkeit, in der interaktiven Befehlszeile zu arbeiten, ihm steht dann eine lange Liste von Befehlen zur Verfügung, inklusive solcher, die für das Herausziehen und Laden von Dateien verantwortlich sind, für die Verbindung zu einer Netzressource, das Herausziehen von Serverkonfigurationsdaten, das Erstellen eines Prozesses und vieles mehr.

„Wir weisen darauf hin, dass nicht jede Regin-Installation das Modul Legspin enthält. In den meisten Fällen steuern die Verbrecher ihre Opfer über andere Funktionen der Plattform Regin”, schreiben die Forscher. „Das bedeutet, dass Legspin unabhängig von der Plattform Regin benutzt worden sein kann, als einfache Backdoor zusammen mit einem Input-Output-Wrapper.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.