Regin APT: uma campanha altamente sofisticada

Quase todas as empresas que rastreiam as campanhas de ameaças persistentes avançadas (APT) estão falando sobre uma nova e sofisticada plataforma de ataque chamadoa “Regin”. O consenso geral é que a

Quase todas as empresas que rastreiam as campanhas de ameaças persistentes avançadas (APT) estão falando sobre uma nova e sofisticada plataforma de ataque chamadoa “Regin”. O consenso geral é que a Regin é um serviço de inteligência do Estado que foi quem a criou, (mas ainda não é de conhecimento qual o país responsável).

Diversas organizações e pessoas estão aguardando os registros de Regin – entre elas a Equipe de Análises e Investigação Global da Kaspersky Lab – e chegaram a conclusão de que se trata de uma campanha de ataque mais sofisticada. A Symantec foi a primeira em divulgar um relatório sobre este trojan no final de semana passada e, deste então outras empresas estão divulgando suas conclusões sobre o assunto.

Segundo as conclusões da Kaspersky Lab, a campanha de Regin ATP tem como alvo as operadoras de telecomunicações, instituições governamentais, órgãos políticos multi-nacionais e instituições financeiras e de pesquisa, assim como indivíduos envolvidos com matemática avançada e criptografia. Os cibercriminosos parecem interessados principalmente em recolher informações e facilitar outros tipos de ataques. Embora grande parte da informação recolhida inclui espionar e-mails e documentos, o grupo também direciona o ataque a empresas de telecomunicações e provedores de serviço GSM.

A sigla GSM (Global System for Mobile Communications) significa, em português,  Sistema Global para Comunicações Móveis. É um padrão para comunicações celulares entre telefones móveis. A melhor maneira de pensar em GSM é como a segunda geração (2G) das tecnologias de comunicação móvel, ou seja, o antecessor de redes 3G e 4G. No entanto, de acordo com os relatórios, ele é o padrão para redes móveis e o mais utilizado pela maioria das empresas de telecomunicações. Ele está disponível em mais de 219 países e territórios e tem 90% de participação no mercado de telefonia móvel.

Os cibercriminosos acessaram a informação sobre as ligações processadas por uma célula particular e as redirecionava para outras, assim como ativar as células vizinhas e realizar outras atividades ofensivas

“A capacidade desse grupo para penetrar e monitorar as redes GSM é talvez o aspecto mais incomum e interessante destas operações”, disse a Equipe de Investigação e Análises Global da Kaspersky Lab. “No mundo de hoje, nós nos tornamos muito dependentes de redes de telefonia móvel que por sua vez dependem de protocolos de comunicação antigos com pouca ou nenhuma segurança disponível para o usuário final. Apesar de todas as redes GSM terem mecanismos embutidos que permitem que entidades, como a polícia, rastrear criminosos suspeitos, há outras entidades que ganham vantagem com isso e lançam outros tipos de ataques contra usuários móveis. ”

A Kaspersky informou que os cibercriminsos roubaram as credenciais de um controlador de estações base GSM interno pertencente a um grande operador de telecomunicações que lhes deu acesso a células GSM dessa rede em particular. Nosso colega do Threatpost, Mike Mimoso observou que os controladores de estações base gerenciam chamadas enquanto elas se movem ao longo de uma rede móvel, atribuindo recursos e transferências de dados móveis.

“Isso significa que eles poderiam ter tido acesso a informações sobre as chamadas processadas por uma célula particular, redirecioná-lass para outras células, ativar as células vizinhas e realizar outras atividades ofensivas”, disseram os pesquisadores da Kaspersky Lab. “No presente momento, os cibercriminosos por trás de Regin são os únicos conhecidos por terem sido capaz de fazer essas operações.”

Em outras palavras, os cibercriminosos por trás de Regin não só monitoream de forma passiva os metadados de comunicações celulares, como também podem redirecionar ativamente as chamadas de celular de um número para outro.

Outro aspecto bizarro e curioso do grupo de ataque Regin é a história de um criptógrafo e matemático belga famoso chamado Jean-Jacques Quisquater. Em fevereiro deste ano, os relatórios começaram a surgir com relação ao computador pessoal de Quisquater que tinha sido hackeado seis meses antes. Embora é normal que acadêmicos de destaque sejam alvos de ataques cibernéticos, o caso de Quisquater foi um pouco diferente por causa das semelhanças entre o ataque feito na sua máquina e outro ataque dirigido à empresa de telecomunicações belga Belgacom.

O último incidente foi objeto de uma revelação de Edward Snowden que alegou que o ataque tinha sido orquestrado pela NSA e seu homólogo britânico, GCHQ. É claro que muitos meios de comunicação denunciaram que tais semelhanças sugerem que os EUA e a inteligência britânica estavam por trás de ambos os ataques. Apesar de nem o Kaspersky Diário nem a Kaspersky Lab darem consentimento a tais acusações, várias agências fizeram menção ao fato.

Além da história de Quisquater e o fato de que o trojan tinha como objetivo os GSMs, a plataforma de ataque Regin também possui uma incrível técnica sofisticada, particular em sua onipresença. Os cibecriminosos estabeleceram backdoors com sua infra-estrutura de comando para assegurar a persistência imperceptível nas redes das suas vítimas. O tráfego de comunicações da campanha foi criptografado para garantir que os ataques não fossem observados, tanto entre os cibercriminosos e os seus servidores de controle, assim como entre as máquinas das vítimas e a infra-estrutura do ataque.

A maior parte das comunicações de Regin ocorrer entre máquinas infectadas – conhecidas como “drones” – na rede da vítima. Há duas razões para isto: por um lado permite o acesso completo, por outro também limita a quantidade de dados que saem da rede via algum servidor de comando e controle. Assim que quando você vê os dados sair da rede com destino a uma rede desconhecida, fique atento. Portanto, esta comunicação em rede “peer-to-peer” torna mais difícil para os monitores de rede perceberem que um ataque está ocorrendo.

Regin-graph-one

 

Em um país desconhecido do Oriente Médio, cada rede vulnerada identificada pelo laboratório da Kaspersky Lab se comunica com todas as outras redes em uma espécie de estrutura peer-to-peer. A rede inclui o gabinete do presidente, um centro de pesquisa, uma rede de instituição de ensino e um banco. Uma das vítimas contém um drone capaz de transmitir os pacotes de dados roubados fora do país, com o servidor de comando e controle localizados na Índia.

“Isso representa um mecanismo de comando e controle bastante interessante, que é garantido para levantar muito poucas suspeitas”, escreveram os pesquisadores. “Por exemplo, se todos os comandos são enviados para o gabinete do presidente através da rede do banco, então, todo o tráfego malicioso que é visível para os administradores de sistemas será apenas com o tal banco, no mesmo país.”

 

Regin está implantado em cinco etapas que dão aos cibercriminosos o acesso completo a uma rede vulnerada e na rede que se carrega partes subsequentes do ataque. Os módulos na primeira fase contém o único executável armazenado no computador da vítima (todos assinados com certificados digitais falsos da Microsoft e Broadcom, a fim de parecerem legítimos.

Os produtos da Kaspersky detectam os módulos da plataforma Regin como: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin. A Kaspersky Lab também publicou um documento técnico, se você quiser saber mais sobre o assunto.

Tradução: Juliana Costa Santos Dias

 

Dicas