Regin: Kompromittierung von GSM-Netzwerken durch Nationalstaat

Motto: „Beware of Regin, the master! His heart is poisoned. He would be thy bane…“
„The Story of Siegfried“ von James Baldwin

Einleitung, Geschichte

Zum Download unseres vollständigen Regin-Berichts (PDF)

Im Frühjahr 2012, nachdem Kaspersky Lab die ungewöhnlichen Fakten rund um die Duqu-Malware veröffentlicht hatte, kontaktierte uns ein Sicherheitsexperte, und teilte uns mit, dass ihn Duqu an einen anderen hochgerüsteten Malware-Vorfall erinnere. Obgleich er uns kein Sample zur Verfügung stellen konnte, erwähnte der Forscher den Namen "Regin" – eine Malware-Attacke, die von vielen Sicherheitsadministratoren in Regierungseinrichtungen rund um den Globus gefürchtet wird.

Im Laufe der letzten zwei Jahre haben wir die Bewegung dieser äußerst schwer zu fassenden Malware um die ganze Welt verfolgt. Von Zeit zu Zeit tauchten Samples bei verschiedenen Multi-Scanner-Services auf, doch sie standen nicht in Beziehung miteinander, hatten alle verborgene Funktionalität und entbehrten jeglichen Kontextes.

Es ist nicht bekannt, wann genau die ersten Samples von Regin erstellt wurden. Einige von ihnen verfügen über Zeitstempel, die in das Jahr 2003 zurückreichen.

Alle Opfer von Regin fallen unter eine der folgenden Kategorien:

  • Telekommunikationsbetreiber
  • Regierungsinstitutionen
  • Multinationale politische Gremien
  • Finanzinstitutionen
  • Forschungseinrichtungen
  • Individuen, die auf irgendeine Weise mit mathematischer/kryptografischer Forschung auf höchstem Niveau zu tun haben

Wie wir bisher beobachten konnten, verfolgen die Angreifer zwei Hauptziele:

  • Sammeln von Geheimdienstinformationen
  • Erleichterung anderer Angriffstypen

Während sich die Angreifer in den meisten Fällen darauf konzentriert haben, sensitive Informationen abzugreifen, wie etwa E-Mails und Dokumente, haben wir auch Fälle beobachtet, in denen sie Telekommunikationsbetreiber kompromittierten, um den Start weiterer raffinierter Attacken zu ermöglichen. Mehr darüber erfahren sie in dem Abschnitt Angriffe auf GSM unten.

Eins der vielleicht prominentesten Opfer von Regin ist Jean Jacques Quisquater (https://en.wikipedia.org/wiki/Jean-Jacques_Quisquater), ein bekannter belgischer Kryptograph. Im Februar 2014 teilte Quisquater mit, dass er Opfer eines hochentwickelten Cyberintrusion-Vorfalls geworden sei. Wir konnten an Samples von dem Fall Quisquater gelangen und bestätigen, dass diese zu der Regin-Plattform gehören.

Ein weiteres interessantes Opfer von Regin ist ein Computer, den wir "Den Bedrohungsmagneten“ nennen. Dieser Computer gehört einer Forschungseinrichtung und wurde bereits von Turla, Mask/Careto, Regin, Itaduke, Animal Farm sowie einigen anderen fortschrittlichen Bedrohungen angegriffen, die in der Öffentlichkeit keinen Namen haben, und die alle fröhlich irgendwann auf demselben Computer koexistierten.

Erstinfektion und Lateralbewegung

Die genaue Methode der Erstinfektion bleibt ein Rätsel, obgleich es einige Theorien zu diesem Thema gibt, unter anderem werden Man-in-the-Middle-Attacken mit Zero-Day-Exploits für den Browser vermutet. Bei einigen Opfern fanden wir Tools und Module, die für eine Lateralbewegung vorgesehen sind. Bisher sind wir noch nicht auf Exploits gestoßen. Die Vervielfältigungsmodule werden unter Verwendung von Windows administrative shares auf entfernte Computer kopiert und dann ausgeführt. Diese Technik macht offensichtlich administrative Privilegien im Netzwerk des Opfers erforderlich. In einigen Fällen waren die infizierten Rechner auch Windows Domain Controller. Der Angriff auf Systemadministratoren über web-basierte Exploits ist ein einfacher Weg, sofortigen administrativen Zugriff auf das gesamte Netzwerk zu erhalten.

Die Regin-Plattform

Kurz gesagt: Regin ist eine Cyberattacken-Plattform, die Angreifer im Netzwerk ihres Opfers installieren, um entfernte Kontrolle auf allen möglichen Ebenen zu erhalten.

Die Plattform ist extrem modular und verfügt über mehrere Stufen.

Diagramm der Regin-Plattform

Die erste Stufe ("stage 1") ist gewöhnlich die einzige ausführbare Datei, die im System des Opfers erscheint. Weitere Stufen werden entweder direkt auf der Festplatte (für 64-Bit-Systeme), als Extended Attributes im NTFS oder als Registry-Einträge gespeichert. Wir haben viele verschiedene Stage 1-Module identifiziert, die manchmal mit öffentlichen Quellen verschmelzen, um eine Art von Polymorphismus zu erreichen und so den Detektionsprozess zu erschweren.

Die zweite Stufe dient einer Vielzahl von Zielen und kann die Regin-Infektion aus dem System entfernen, wenn sie die entsprechende Weisung von der dritten Stufe erhält.

Die zweite Stufe erstellt zudem eine Marker-Datei, die benutzt werden kann, um die infizierte Maschine zu identifizieren. Bekannte Dateinamen für diesen Marker lauten:

  • %SYSTEMROOT%system32nsreg1.dat
  • %SYSTEMROOT%system32bssec3.dat
  • %SYSTEMROOT%system32msrdc64.dat

Stufe 3 gibt es nur auf 32-Bit-Systemen – auf 64-Bit-Systemen lädt Stufe 2 den Dispatcher direkt und die dritte Stufe entfällt.

Stage 4, der Dispatcher, ist vermutlich das komplexeste Einzelmodul der gesamten Plattform. Der Dispatcher ist der Kern des Benutzermodus‘ des Frameworks. Er wird direkt als dritte Stufe des 64-Bit-Urladeprozesses geladen oder aus dem VFS als Modul 50221 herausgezogen und geladen, auf 32-Bit-Systemen als vierte Stufe.

Der Dispatcher ist für die Ausführung der kompliziertesten Aufgaben der Regin-Plattform zuständig, wie etwa die Bereitstellung einer API für den Zugriff auf virtuelle Dateisysteme, die Basiskommunikation und Speicherfunktionen sowie Netzwerktransport-Subroutien. Der Dispatcher ist also im Wesentlichen das Gehirn, das die gesamte Plattform am Laufen hält.

Eine ausgiebige Beschreibung aller Malware-Stufen finden Sie in unserem vollständigen technischen Bericht.

Virtuelle Dateisysteme (32/64-Bit)

Der interessanteste Code der Regin-Plattform wird in verschlüsselten Dateispeichern verwahrt, in so genannten Virtual File Systems (VFSes), virtuellen Dateisystemen.

Im Zuge unserer Analyse konnten wir 24 VFSes von einer Vielzahl von Opfern rund um den Globus abrufen. Im Allgemeinen haben sie willkürliche Namen und können an unterschiedlichen Orten in dem infizierten System untergebracht sein. Eine vollständige Liste, die Formate der Regin VFSes eingeschlossen, finden Sie in unserem technischen Bericht.

Ungewöhnliche Module und Artefakte

Hochprofessionelle APT-Gruppen, wie die hinter Regin eine ist, machen sehr selten Fehler. Aber manchmal eben doch. Einige der VFSes, die wir analysierten, enthalten Wörter, die die entsprechenden Codenamen der auf den Opfersystemen installierten Module zu sein scheinen:

  • legspinv2.6 and LEGSPINv2.6
  • WILLISCHECKv2.0
  • HOPSCOTCH

Ein anderes Modul, das wir gefunden haben, ein Plug-In des Typs 55001.0, bezieht sich auf einen anderen Codenamen, der da lautet U_STARBUCKS:

Angriffe auf GSM

Der interessanteste Aspekt, den wir bis dato über Regin herausgefunden haben, steht mit der Infektion eines großen GSM-Betreibers in Zusammenhang. Ein verschlüsselter VFS-Eintrag, den wir ermittelten, hatte die interne ID 50049.2 und scheint ein Aktivitätsprotokoll auf einem GSM Bases Station Controller zu sein.

Quelle: https://en.wikipedia.org/wiki/Base_station_subsystem

In der GSM-Dokumentation heißt es (http://www.telecomabc.com/b/bsc.html): "Der Base Station Controller (BSC) kontrolliert und überwacht eine Anzahl von Base Transceiver Stations (BTS). Der BSC ist verantwortlich für die Zuteilung der Funkressourcen an einen mobilen Anruf und für die Verbindungen zwischen den Basisstationen, die seiner Kontrolle unterliegen. Andere Verbindungen unterliegen der Kontrolle des MSC."

Hier ein Blick auf das decodierte GMS-Aktivitätsprotokoll von Regin:

Dieses Protokoll ist etwa 70 KB groß und enthält hunderte von Einträgen der oben dargestellten Art. Es enthält zudem Zeitstempel, die genau angeben, wann das Kommando ausgeführt wurde.

Die Einträge in dem Protokoll scheinen OSS MML (Man-Machine Language wie von ITU-T definiert) Befehle von Ericsson zu enthalten.

Hier eine Liste einiger Befehle, die auf dem Base Station Controller ausgegeben werden, zusammen mit einigen ihrer Zeitstempel:

Beschreibung der Befehle:

  • rxmop – Typ der Softwareversion überprüfen;
  • rxmsp – aktuelle Anrufumleitungs-Einstellungen der Mobilstation auflisten;
  • rlcrp – Liste der Anrufumleitungs-Einstellungen für den Base Station Controller anzeigen;
  • rxble – Rufumleitung aktivieren (entsperren);
  • rxtcp – Sendeempfänger-Gruppe einer bestimmten Zelle anzeigen;
  • allip – externen Alarm anzeigen;
  • dtstp – DIgital Path (DIP)-Einstellungen anzeigen (DIP ist der Name der Funktion, die zur Überwachung der verbundenen PCM-Linien (Pulse-Code-Modulation) verwendet wird);
  • rlstc – Zelle(n) im GSM-Netzwerk aktivieren;
  • rlstp – Zelle(n) im GSM-Netzwerk stoppen;
  • rlmfc – Frequenzen zur aktiven Sendekontrollkanal-Verteilungsliste hinzufügen;
  • rlnri – Zellennachbarn hinzufügen;
  • rrtpp – Details zum Funkübertragungstranscoder-Pool anzeigen.

Das Log scheint nicht nur die ausgeführten Befehle, sondern auch Nutzernamen und Passwörter für einige der technischen Accounts zu enthalten:

sed[snip]:Alla[snip]hed[snip]:Bag[snip]oss:New[snip]administrator:Adm[snip]nss1:Eric[snip]

Insgesamt ist dem Protokoll zu entnehmen, dass in 136 unterschiedlichen Zellen Befehle ausgeführt wurden. Einige der Zellnamen enthalten "prn021a, gzn010a, wdk004, kbl027a, etc…". Das Befehlsprotokoll, über das wir verfügten, deckt einen Zeitraum von ungefähr einem Monat ab, und zwar vom 25. April 2008 bis zum 27. Mai 2008. Es ist nicht bekannt, warum die Befehle im Mai 2008 aufhörten; vermutlich wurde die Infektion entfernt oder die Angreifer hatten ihr Ziel erreicht und zogen weiter. Eine andere Erklärung wäre, dass die Angreifer die Malware verbessert oder verändert haben, um die Protokolle nicht mehr lokal speichern zu müssen, und aus diesem Grund wurden nur einige ältere Logs entdeckt.

Kommunikation und C&C

Der in Regin implementierte C&C-Mechanismus ist äußerst raffiniert und fußt auf Kommunikationsdrohnen, die von den Hackern über das gesamte Netzwerk des Opfers verteilt werden. Die meisten Opfer kommunizieren mit einem anderen Rechner in ihrem eigenen internen Netzwerk über verschiedenste Protokolle, so wie in der config-Datei festgelegt. Dazu gehören HTTP und Windows-Netzwerkpipes. Mit dieser komplexen Infrastruktur sollen zwei Ziele erreicht werden: Sie soll den Angreifern Zugriff tief in das Netzwerk gewährleisten, bei potentieller Umgehung von Airgaps, und sie soll den Traffic auf das C&C so stark wie möglich einschränken.

Hier ein Blick auf die decodierte Konfiguration:

Die oben dargestellte Übersicht zeigt Konfigurationen, die von mehreren Opfern entnommen wurden, die infizierte Rechner in virtuellen Netzwerken verbinden: 17.3.40.x, 50.103.14.x, 51.9.1.x, 18.159.0.x. Eine dieser Strecken reicht zu dem „externen“ C&C-Server bei 203.199.89.80.

Die Zahlen direkt hinter dem "transport" verweisen auf das Plug-In, das die Kommunikation verwaltet. In unserem Fall sind das:

  • 27 – ICMP Network Listener, der Raw Sockets verwendet
  • 50035 – Winsock-basierter Netzwerktransport
  • 50037 – Netzwerktransport über HTTP
  • 50051 – Netzwerktransport über HTTPS
  • 50271 – Netzwerktransport über SMB (benannte Pipes)

Die an der Grenze des Netzwerks platzierten Rechner fungieren als Router, die Opfer innerhalb des Netzwerks wirksam mit C&Cs im Internet verbinden.

Nachdem wir alle Konfigurationen, die wir zusammengetragen hatten, decodiert hatten, konnten wir die folgenden externen C&Cs identifizieren.

IP- des C&C-Servers Standort Beschreibung
61.67.114.73 Taichung in der chinesischen Provinz Taiwan Chwbn
202.71.144.113 Indien, Chetput Chennai Network Operations  (team-m.co)
203.199.89.80 Indien, Thane Internet Service Provider
194.183.237.145 Belgien, Brüssel Perceval S.a.

In einem bestimmten Fall ist ein Land im Mittleren Osten beteiligt. Dieser Fall war überwältigend, daher waren wir der Meinung, es sei wichtig, ihn vorzustellen. In diesem speziellen Fall kommunizieren alle Opfer, die wir identifizierten, miteinander und bildeten dabei ein Peer-to-Peer-Netzwerk. Teil dieses P2P-Netzwerks sind das Büro des Präsidenten, ein Forschungszentrum, das Netzwerk einer Bildungseinrichtung und eine Bank.

Diese über das ganze Land verteilten Opfer sind alle miteinander verbunden. Eins dieser Opfer enthält eine Übersetzungsdrohne, die in der Lage ist, Pakete ins Ausland weiterzuleiten, und zwar zu dem C&C in Indien.

Es handelt sich hier um einen recht interessanten Command-und-Control-Mechanismus, der garantiert nur wenig Verdacht erregt. Wenn beispielsweise alle Befehle an das Büro des Präsidenten über das Netzwerk der Bank gesendet werden, dann bezieht sich der gesamte schädliche Traffic, den die Systemadministratoren des Präsidentenbüros sehen können, nur auf die Bank, in demselben Land.

Opferstatistik

Im Laufe der letzten zwei Jahre haben wir statistische Daten über die Angriffe und die Opfer von Regin zusammengetragen. Dabei kam uns die Tatsache zugute, dass – selbst nachdem die Malware deinstalliert wurde -, bestimmte Artefakte zurückbleiben, die helfen können, ein infiziertes (aber gesäubertes) System zu identifizieren. Zum Beispiel hatten wir mit einigen Fällen zu tun, in denen die Systeme zwar gesäubert worden waren, der Infektionsmarker "msrdc64.dat" allerdings zurückgelassen wurde.

Bisher wurden in 14 Ländern Regin-Opfer registriert

  • Algerien
  • Afghanistan
  • Belgien
  • Brasilien
  • Fidschi
  • Deutschland
  • Iran
  • Indien
  • Indonesien
  • Kiribati
  • Malaysia
  • Pakistan
  • Russland
  • Syrien

Insgesamt haben wir 27 verschiedene Opfer gezählt, wobei hier zu berücksichtigen ist, dass die Definition „Opfer“ sich auf die komplette Organisation mit dem gesamten Netzwerk bezieht. Die Zahl der einzelnen PCs, die mit Regin infiziert wurden, ist selbstverständlich sehr viel größer.

Auffallend in der oben stehenden Karte sind Fidschi und Kiribati, denn wir bekommen selten solche fortschrittliche Malware in so entfernten, kleinen Ländern zu sehen. Insbesondere das Opfer in Kiribati ist überaus ungewöhnlich. Zum Verständnis der Relation: Kiribati ist eine kleine Insel im Pazifik mit ungefähr 100.000 Bewohnern.

Weitere Informationen über die Regin-Opfer erhalten sie über die Kaspersky Intelligent Services. Kontakt: intelreports@kaspersky.com

Zuordnung

Berücksichtigt man die Komplexität der Malware und die Kosten für die Entwicklung von Regin, so liegt die Vermutung nahe, dass die Operation von einem Nationalstaat gefördert wird. Während die Zuordnung ein schwieriges Problem ist und bleibt, wenn es um professionelle Angreifer geht, wie die hinter der Regin-Operation, so können bestimmte, aus den Samples extrahierte Metadaten durchaus relevant sein.

Da diese Informationen leicht von den Entwicklern geändert werden können, liegt es beim Leser, sie zu interpretieren: als eine bewusst gelegte falsche Fährte oder als ein nicht kritischer Hinweis, den die Entwickler hinterlassen haben.

Weitere Informationen über Regin sind für Kunden der Kaspersky Intelligent Services verfügbar. Kontakt: intelreports@kaspersky.com

Fazit

Seit mehr als einem Jahrzehnt hat eine hochentwickelte Gruppe, die unter dem Namen Regin bekannt ist, prominente Organisationen rund um den Erdball mit Hilfe einer fortschrittlichen Malware-Plattform angegriffen. Soweit wir sagen können, ist diese Operation noch immer aktiv, obgleich die Malware vielleicht auf modernere Versionen upgegradet wurde. Das neuste Sample, das wir gefunden haben, stammt aus einer 64-Bit-Infektion. Diese Infektion war im Frühjahr 2014 noch aktiv.

Der Name Regin ist vermutlich ein umgedrehtes "In Reg", kurz für "In Registry", da die Malware ihre Module in der Registry speichern kann. Dieser Name tauchte erstmals im März 2011 auf, als die Malware zum ersten Mal von Anti-Malware-Produkten detektiert wurde.

In einer gewissen Hinsicht erinnert uns die Plattform an eine andere hochentwickelte Malware: Turla. Einige Ähnlichkeiten liegen im Gebrauch von virtuellen Dateisystemen und dem Einsatz von Kommunikationsdrohnen, um Netzwerke miteinander zu verbinden. Doch mit seiner Umsetzung, seinen Verschlüsselungsmethoden, Plug-Ins, Verbergungstechniken und mit seiner Flexibilität übertrifft Regin die Plattform Turla als eine der raffiniertesten Angriffsplattformen, die wir jemals analysiert haben.

Die Fähigkeit dieser Gruppe in GSM-Netzwerke einzudringen und diese zu überwachen, ist vielleicht der ungewöhnlichste und interessanteste Aspekt dieser Operationen. In der heutigen Welt sind wir viel zu abhängig von mobilen Telefonnetzwerken, die auf antiquierten Kommunikationsprotokollen basieren, die dem Enduser nur wenig oder gar keine Sicherheit bieten. Obgleich alle GSM-Netzwerke über eingebettete Mechanismen verfügen, die es Organisationen, wie etwa Strafverfolgungsbehörden ermöglichen, Verdächtige zu verfolgen, ist da auch noch die andere Partei, die in der Lage ist, sich diese Möglichkeit anzueignen und im Folgenden zu missbrauchen, um andere Arten von Attacken auf mobile Nutzer zu starten.

Den vollständigen technischen Bericht finden Sie hier.

Die Produkte von Kaspersky Lab detektieren die Module der Regin-Plattform als: Trojan.Win32.Regin.gen und Rootkit.Win32.Regin.

Wenn Sie eine Regin-Infektion in Ihrem Netzwerk entdecken, kontaktieren Sie uns bitte unter intelservices@kaspersky.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.