Regin 平台

病毒定义

病毒类型：恶意软件/高级持续性威胁 (APT)

什么是 Regin？

Regin 是一个网络攻击平台，不仅能够监控 GSM 网络，还能够监控其他“标准”间谍任务。

简而言之，Regin 是攻击者能够部署在受害者网络中，对其中所有可能的层面实施终极远程控制的网络攻击平台。它在本质上来说是一个高度模块化的平台，通过多个阶段来实施各部分攻击。

恶意软件可以收集键盘记录、截屏、从系统窃取任意文件、从 MS Exchange 服务器提取电子邮件以及从网络通信中提取任意数据。

攻击者还可以入侵 GSM 基站控制器。基站控制器是控制 GSM 基础设施的计算机。攻击者可以通过这些控制器控制 GSM 网络以及发起其他类型的攻击，包括截获通话和短信。

此类攻击与任何其他 APT 攻击有何不同？

这是我们观察到的最复杂的攻击之一。从某些角度来看，该平台让我们想起另一个复杂的恶意软件：Turla。两者有一些相似之处，都使用虚拟文件系统，而且通过部署通信无人机来桥接网络。但 Regin 在实施、编码方法、插件、隐藏技巧和复杂性方面胜过 Turla，实属我们分析过的最复杂的攻击平台之一。这个团体能够侵入和监控 GSM 网络或许是其运作中最非同寻常、最令人关注的方面。

谁是受害者？/您对攻击目标有什么看法？

Regin 的受害者分为以下几类：

• 电信运营商
• 政府机构
• 跨国政治团体
• 金融机构
• 研究机构
• 参与高级数学/加密研究的个人

到目前为止，我们观察到攻击者有两个主要目标：

• 情报收集
• 协助其他类型的攻击

到目前为止，已有 14 个国家/地区发现了 Regin 的受害者：

• 阿尔及利亚
• 阿富汗
• 比利时
• 巴西
• 斐济
• 德国
• 伊朗
• 印度
• 印度尼西亚
• 基里巴斯
• 马来西亚
• 巴基斯坦
• 俄罗斯
• 叙利亚

我们总共统计出 27 个不同的受害者，但要指出的是，这里所说的受害者是指一个完整的实体，包括其全部网络。受到 Regin 感染的个体 PC 数量显然要高得多。

这是一个民族国家资助的攻击吗？

考虑到 Regin 开发的复杂性和成本，其运作很可能受到了某一民族国家的支持。

Regin 的后台是什么国家呢？

推断像 Regin 后台这样的专业攻击者必然是一个艰巨的难题。

卡巴斯基实验室是否检测到了该恶意软件的所有变体？

卡巴斯基产品检测到的 Regin 平台模块有：Trojan.Win32.Regin.gen 和 Rootkit.Win32.Regin。

是否有入侵指标 (IOC) 能够帮助受害者识别入侵？

有。IOC 信息已加入我们的详细技术研究论文中。