Casusluk Yazılımı Regin GSM Şebekelerine Bulaştı

Kaspersky Lab Global Araştırma ve Analiz Ekibi, Regin “standart” diğer casusluk görevlerine ek olarak GSM şebekelerine nüfuz etmek ve bunları izlemek için kullanılan, bilinen ilk siber saldırı platformu olan Regin ile ilgili araştırmasını yayınladı.



Kaspersky Lab uzmanları, sofistike bir casusluk kampanyasına aitmiş gibi görünen Regin kötü amaçlı yazılımından 2012 yılının ilkbaharında haberdar oldu. Kaspersky Lab uzmanları, neredeyse üç yıl boyunca tüm dünyada bu kötü amaçlı yazılımı takip etti. Kimi zaman örneklere bazı çoklu tarayıcı hizmetlerinde rastlansa da birbirleriyle ilişkisiz, işlevsel olarak şifreli ve bağlamlarının eksik olduğu görülmüş. Yine de Kaspersky Lab uzmanları, devlet kurumları ve telekom operatörlerine karşı olanlar da dahil olmak üzere gerçekleştirilen birçok saldırıda kullanılan örnekleri elde etmeyi başarmıştır ve bu sayede bu tehdidi daha derinden araştırmak için yeterli bilgi edinilmiş.

Bu derinlemesine çalışma, Regin‘in yalnızca kötü amaçlı bir program olmadığını, aynı zamanda hedeflenen kuruluşların ağlarının tamamını tüm olası seviyelerde etkileyerek uzaktan kontrolü ele geçirebilen bir platform, çok sayıda modül içeren bir yazılım paketi olduğunu ortaya koyuyor. Regin, saldırılan ağlardaki gizli verileri toplamayı ve başka türlerde saldırılar gerçekleştirmeyi hedefliyor.


Regin platformunun arkasında aktör, etkilenen ağları kontrol edebilen oldukça gelişmiş bir yönteme sahip. Kaspersky Lab uzmanları, bir ülkede gizliliği ihlal edilmiş birden fazla kuruluş olduğunu, ancak bunlardan yalnızca bir tanesinin başka bir ülkede bulunan komut ve kontrol sunucusu ile iletişim kurmak için programlandığını gözlemlemiş.

Ancak bölgedeki tüm Regin kurbanlarının, VPN benzeri eşler arası bir ağda bir araya getirilmesi ve birbirleri ile iletişim kurabilmeleri sağlanmıştır. Bu şekilde saldırganlar, gizliliği ihlal edilmiş kuruluşları büyük tek bir birleşik kurbana dönüştürmüş ve tek bir giriş noktası üzerinden komut göndererek bilgileri çalmayı başarmışlar. Kaspersky Lab araştırmasına göre bu yapı, aktörün dikkat çekmeden yıllarca sessiz bir şekilde çalışmasını sağlıyor.


Regin platformunun en özgün ve ilginç özelliği ise GSM şebekelerine saldırabilmesi. Soruşturma sırasında Kaspersky Lab araştırmacıları tarafından elde edilen bir GSM Baz İstasyonu Denetleyicisi üzerindeki bir etkinlik günlüğüne göre saldırganların, büyük bir operatörün şebekesindeki GSM hücrelerini kontrol etmelerini sağlayacak kimlik bilgilerini elde etmeleri mümkün olmuş. Bu da, belirli bir hücre tarafından hangi aramaların gerçekleştirildiği bilgisine erişebildikleri, bu aramaları diğer hücrelere yönlendirebildikleri, komşu hücreleri etkinleştirebildikleri ve başka saldırgan faaliyetler gerçekleştirebildikleri anlamına geliyor. Günümüzde bu tür operasyonları gerçekleştirme yeteneğine sahip olduğu bilinen tek saldırganlar Regin platformunun arkasında bulunan saldırganlar.

Kaynak