Regin es la plataforma de ataque cibernético que penetra y controla las redes GSM, además de otras tareas «estándar» de ciberespionaje, de acuerdo con el análisis de la firma. Asimismo destacó algunos hallazgos sobre la investigación:
–Las principales víctimas son operadores de telecomunicaciones, gobiernos, instituciones financieras, organizaciones de investigación, organismos políticos multinacionales e individuos involucrados en la investigación matemática / criptográfica avanzada.
–Las víctimas se han encontrado en Argelia, Afganistán, Bélgica, Brasil, Fiji, Alemania, Irán, India, Indonesia, Kiribati, Malasia, Pakistán, Siria y Rusia.
–Regin se compone de herramientas maliciosas capaces de poner en peligro a toda la red de una organización atacada. Utiliza un método de comunicación complejo entre las redes infectadas y servidores de comando y control, lo que permite el control remoto y la transmisión de datos de forma oculta.
–Un módulo la plataforma en particular es capaz de monitorear las estaciones base de controladores GSM, recopilando datos sobre los celulares GSM y la infraestructura de red.
–En el transcurso de abril de 2008 los atacantes recopilaron credenciales administrativas que les permitían manipular una red GSM de un país del Medio Oriente.
–Algunas de las primeras muestras de Regin parecen haber sido creadas desde el 2003.
La empresa mencionó que desde hace casi tres años han rastreado este malware por todo el mundo, encontrando que Regin no es sólo un programa malicioso, sino una plataforma – un paquete de software, que consiste de varios módulos, capaces de infectar a toda la red de las organizaciones blanco para tomar el control de manera remota de todos los niveles posibles. El objetivo es la compilación de datos confidenciales de las redes atacadas y la realización de varios otros tipos de ataques.
También señaló que el actor detrás de la plataforma tiene un método bien desarrollado para el control de las redes infectadas. Se observaron varias organizaciones comprometidas en un país, pero sólo una de ellas estaba programada para comunicarse con el servidor de comando y control ubicado en otro país.
Sin embargo, resaltó la firma, todas las víctimas en la región estaban unidas por una especie de red privada virtual (VPN) con el protocolo punto a punto (P2P) y eran capaz de comunicarse entre sí. Por lo tanto, los atacantes tornaron a las organizaciones comprometidas en una vasta víctima unificada y fueron capaces de enviar comandos y robar información a través de un único punto de entrada. Según la investigación esta estructura le permitió al actor operar en silencio durante años sin levantar sospechas.
La característica más original e interesante de la plataforma Regin es su capacidad de atacar a las redes GSM. De acuerdo con un registro de actividad de un controlador de estación base GSM obtenido por los investigadores durante el estudio, los atacantes fueron capaces de obtener las credenciales que les permitan controlar los celulares GSM en la red de un operador de celular grande. Esto significa que podrían haber tenido acceso a información sobre las llamadas que son procesadas por un celular en particular, redirigir estas llamadas a otros celulares, activar celulares vecinos y realizar otras actividades ofensivas. En la actualidad, los atacantes detrás de Regin son los únicos que se sabe han sido capaces de realizar este tipo de operaciones, precisó Kaspersky Lab.
