Kaspersky Lab-Analyse: Trojaner Regin attackiert GSM-Infrastruktur

Kaspersky Lab hat eine Analyse einer der gefährlichsten schädlichen Cyberplattformen der Geschichte veröffentlicht. Den kürzlich entdeckten Trojaner, der die Bezeichnung Regin erhielt, gibt es schon mehr als zehn Jahre, und zu seinen besonderen Leistungen gehören die Infektion der GSM-Infrastruktur eines großen Mobilfunkanbieters sowie das Verfolgen der Aktivität der Basisstationen von Mobilfunkgesellschaften.

Wie die Sicherheitsexperten von Kaspersky Lab mitteilen, stießen sie seit dem Jahr 2012 auf vereinzelte Spuren von Regin, in den Antiviren-Services tauchten immer mal wieder verschiedene, nicht miteinander verbundene Samples mit rätselhafter Bestimmung auf, von denen einige im Jahr 2003 erstellt worden waren. Eine Attacke vollständig zu analysieren, gelang aber erst vor kurzer Zeit.

Regin, der seinen Namen aufgrund der Tatsache erhielt, dass ein Teil seiner Komponenten in der Windows Registry gespeichert wird, (Wortspiel aus „in registry“ – „regin“), greift nur die wichtigsten Ziele aus einer begrenzten Liste von Kategorien an: Telekommunikationsunternehmen, staatliche Institutionen, Finanz- und Wissenschaftseinrichtungen, die in den Bereichen Mathematik und Kryptografie forschen. Zu den Opfern gehörte unter anderem auch der bekannte belgische Kryptograf Jean-Jacques Quisquater, der Kaspersky Lab ein auf seinem Computer gefundenes Sample des Schädlings zur Verfügung stellte.

Die Forscher waren allerdings nicht in der Lage, die Methode zu bestimmten, die Cyberkriminelle anwenden, um Regin auf dem Computer des Nutzers einzuschleusen. Es wurden keine Exploits für Zero-Day-Sicherheitslücken gefunden, in den meisten untersuchten Fällen drang der Schädling von anderen Computern im Netz in den Zielrechner ein, und zwar unter Nutzung von Administratorenrechten. In einigen Fällen wurden auch die Domain-Controller des Windows-Netzes infiziert.

Die erste Infektionsetappe besteht im Einschleusen einer ausführbaren Datei auf den Computer, wobei viele verschiedene Arten solcher Dateien gefunden wurden. Eine solche Vielfalt ist allem Anschein nach notwendig, um die Entdeckung des Programms durch Antiviren-Lösungen zu erschweren. Andere Komponenten der schädlichen Plattform, die danach hochgeladen werden, werden direkt auf der Festplatte gespeichert (für 64-Bit-Systeme), oder in den erweiterten Attributen des Dateisystems NTFS (in 32-Bit-Systemen).

Die Programme der zweiten Infektionsetappe verfügen über eine Vielzahl von Funktionen, inklusive Selbstlöschung des Schadprogramms Regin von dem infizierten Computer auf Befehl. Am Ende des Prozesses wird ein Dispatcher-Programm geladen, das „Gehirn“ von Regin, das eine API für den Zugriff auf das virtuelle Dateisystem enthält und Basisfunktionen zur Verbindung und zum Speichern der Module.

Die Experten haben zwei grundlegende Funktionen von Regin definieren können: das Sammeln von Informationen und die Gewährleistung der Durchführung anderer Angriffsarten. In den meisten Fällen stehlen die Cyberkriminellen, die hinter Regin stecken, Mails und Dokumente, doch es wurden auch Fälle registriert, in denen Mobilfunkbetreiber kompromittiert wurden und raffiniertere Attacken zum Einsatz kamen.

Die interessanteste von allen entdeckten Regin-Komponenten ist ein Modul, das zur Infektion der Infrastruktur der GSM-Verbindung verwendet wird und im Netz einer großen Mobilfunkgesellschaft gefunden wurde. Seine Hauptfunktion besteht in der Aufzeichnung der gesamten Aktivität bestimmter Mobilfunk-Basisstationen. Das Modul führt ein Protokoll, in dem alle eingegebenen Befehle für die Basisstationen der Produktion von Ericsson gespeichert werden. Zudem wurden in dem Protokoll Namen von Anwendern und Passwörter für Accounts von den Ingenieuren gefunden, die die Infrastruktur warten. Insgesamt waren in dem entdeckten Protokoll Befehle festgehalten, die in 136 verschiedenen Basisstationen verwendet wurden.

Der Mechanismus zur Steuerung und Kontrolle von Regin ist überaus komplex und basiert auf Kommunikationsknoten, die von den Cyberkriminellen im Netz des Opfers installiert wurden. Der Schädling verbindet sich mit anderen Rechnern im Netz und verwendet dabei entsprechend den Einstellungen der Konfigurationsdatei verschiedene Protokolle. Grenzrechner des Netzes fungieren dabei als Router, die die infizierten Computer des Opfers mit den externen C&C-Servern verbinden. Die Experten konnten fünf solcher Server identifizieren, die sich in Taiwan, Indien und Belgien befinden.

Ein besonders interessanter Fall wurde in einem Land aus dem Mittleren Osten gefunden: Wie sich zeigte, waren alle Regin-Opfer in dem Land in einem p2p-Netz miteinander verbunden, zu dem unter anderem die Administration des Präsidenten, ein Forschungszentrum, das Netz einer Universität und eine Bank gehörten. Der Computer eines dieser Opfer diente als Kommunikationsknoten, über den das gesamte Regin-Netz sich mit dem in Indien gelegenen Steuerungsserver verband.

Insgesamt wurden 27 verschiedene Opfer von Regin gefunden, die sich in 14 verschiedenen Ländern der Welt befinden, unter anderem in Algerien, Afghanistan, Belgien, Brasilien, in Fidschi, Deutschland, dem Iran, Indonesien, Kiribati, Malaysia, Pakistan, Russland und Syrien. Ausgehend von der Komplexität und dem Preis von Regin schlussfolgern die Experten von Kaspersky Lab, dass diese Operation von staatlicher Seite unterstützt werden muss. Sie konnten allerdings nur äußerst wenige Metadaten finden, wodurch die Identifizierung des Landes, das hinter dieser Attacke steht, erheblich erschwert wird.

Quelle:        Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.