怀疑是由拦截成为NSA 和 GCHQ 的工作不过,超级恶意软件“Regin”的技术能力仍然让人更加惊叹。卡巴斯基刚刚发布了对该软件的分析,部分证实了赛门铁克的分析,但提供了更多见解。例如,我们了解到 Regin 被用来感染……移动运营商网络。就这样!
事实上,在基站控制器 (BSC) 上检测到了恶意软件的存在。在 GSM 网络中,这种类型的元件可以控制数百个基站。 Regin 的作者就是这么做的。在一份日志文件中,卡巴斯基侦探发现了数百条发送到 136 个不同单元的命令。执行的命令包括:停止小区、启动小区、添加发射频率、激活通信信道等。所有这些对于开展电信网络间谍活动非常有用。
卡巴斯基揭示了 Regin 的另一个有趣的方面:它的命令和控制 (C&C) 系统。所有间谍恶意软件都必须在某个时刻与攻击者的资源进行通信,无论是接受命令还是窃取信息。就 Regin 而言,受感染的计算机被分组到虚拟网络中。它们通过不同的协议(例如 HTTP、Windows Socket、SMB 等)相互通信。然后,交换的流汇聚到其中一台机器,该机器充当 C&C 服务器的访问节点。这种做事方式可以限制攻击基础设施的流量,从而保持谨慎。
编辑在中东国家发现了一个特别引人注目的此类组织的例子。虚拟网络由受感染的计算机组成,这些计算机像在真实网络中一样相互通信点对点。它们位于至少四个不同的地点:总统办公室、研究所、银行、教育机构。后者构成了攻击者 C&C 服务器的网关。因此,在总统府一级,传出的恶意流量可以在传输到国外之前被隐藏在到达其他节点之一的普通流量中。
这一分析证实让-雅克·基斯夸特的话据卡巴斯基称,比利时著名密码学家也是 Regin 的受害者。提问者01网,他去年二月表示“恶意软件并没有移动太多。但在某些情况下,它会与 Belgacom 恶意软件进行加密通信。 »并且该操作员也被Regin感染,经证实拦截。
另请阅读:
Regin,无处不在的隐秘恶意软件,于 24/11/2014
来源:
