content/zh-cn/images/repository/isc/2017-images/malware-img-49.jpg
病毒定义

病毒类型:恶意软件/高级持续性威胁 (APT)

什么是 Regin?

Regin 是一个网络攻击平台,不仅能够监控 GSM 网络,还能够监控其他“标准”间谍任务。

简而言之,Regin 是攻击者能够部署在受害者网络中,对其中所有可能的层面实施终极远程控制的网络攻击平台。它在本质上来说是一个高度模块化的平台,通过多个阶段来实施各部分攻击。

恶意软件可以收集键盘记录、截屏、从系统窃取任意文件、从 MS Exchange 服务器提取电子邮件以及从网络通信中提取任意数据。

攻击者还可以入侵 GSM 基站控制器。基站控制器是控制 GSM 基础设施的计算机。攻击者可以通过这些控制器控制 GSM 网络以及发起其他类型的攻击,包括截获通话和短信。

此类攻击与任何其他 APT 攻击有何不同?

这是我们观察到的最复杂的攻击之一。从某些角度来看,该平台让我们想起另一个复杂的恶意软件:Turla。两者有一些相似之处,都使用虚拟文件系统,而且通过部署通信无人机来桥接网络。但 Regin 在实施、编码方法、插件、隐藏技巧和复杂性方面胜过 Turla,实属我们分析过的最复杂的攻击平台之一。这个团体能够侵入和监控 GSM 网络或许是其运作中最非同寻常、最令人关注的方面。

谁是受害者?/您对攻击目标有什么看法?

Regin 的受害者分为以下几类:

  • 电信运营商
  • 政府机构
  • 跨国政治团体
  • 金融机构
  • 研究机构
  • 参与高级数学/加密研究的个人

到目前为止,我们观察到攻击者有两个主要目标:

  • 情报收集
  • 协助其他类型的攻击

到目前为止,已有 14 个国家/地区发现了 Regin 的受害者:

  • 阿尔及利亚
  • 阿富汗
  • 比利时
  • 巴西
  • 斐济
  • 德国
  • 伊朗
  • 印度
  • 印度尼西亚
  • 基里巴斯
  • 马来西亚
  • 巴基斯坦
  • 俄罗斯
  • 叙利亚

我们总共统计出 27 个不同的受害者,但要指出的是,这里所说的受害者是指一个完整的实体,包括其全部网络。受到 Regin 感染的个体 PC 数量显然要高得多。

这是一个民族国家资助的攻击吗?

考虑到 Regin 开发的复杂性和成本,其运作很可能受到了某一民族国家的支持。

Regin 的后台是什么国家呢?

推断像 Regin 后台这样的专业攻击者必然是一个艰巨的难题。

卡巴斯基实验室是否检测到了该恶意软件的所有变体?

卡巴斯基产品检测到的 Regin 平台模块有:Trojan.Win32.Regin.genRootkit.Win32.Regin

是否有入侵指标 (IOC) 能够帮助受害者识别入侵?

有。IOC 信息已加入我们的详细技术研究论文中。

Regin 平台

该恶意软件可以收集键盘记录、截屏、从系统窃取任意文件、从 MS Exchange 服务器提取电子邮件以及从网络通信中提取任意数据。
Kaspersky Logo