Компания
1 016,14
рейтинг
24 ноября 2014 в 21:40

Разработка → Троян Regin: кто шпионит за GSM через Windows?

image

В нескольких последних публикациях нашего блога мы рассказывали об уязвимостях сетей мобильной связи, а также о возможностях прослушки на основе таких уязвимостей. При этом читатели в комментариях не раз выражали сомнение в том, что можно вот так легко попасть во внутреннюю технологическую сеть оператора. Однако свежий пример с троянцем Regin показывает, что это не только возможно, но и делалось систематически уже много лет.

Отчёты об этом троянце на днях выпустили Symantec (в воскресенье) и «Лаборатория Касперского» (в понедельник). В некоторых деталях они расходятся, но общая картина такова: троян является очень серьезной разработкой и хорошо скрывается, скорее всего он создан на государственном уровне (Symantec прямо говорит о западной спецслужбе), основной его целью является шпионаж, а основными объектами атаки стали операторы связи, через которые этот шпионаж и осуществлялся.

По данным отчёта Symantec, троян Regin скрытно работает аж с 2008 года. При этом шпионский софт инсталлируется в четыре стадии, следы присутствия тщательно уничтожаются, поэтому на данный момент даже сложно сказать, как именно начинается атака — возможно, через зараженные сайты или через мессенджеры. Будучи установлен, Regin может перехватывать трафик и логи, делать скриншоты, записывать клики и движения мышкой, читать удалённые файлы — в общем, полный шпионский набор.

Большинство жертв данного трояна эксперты Symantec обнаружили в России (28%) и Саудовской Аравии (24%), дальше идут Мексика и Ирландия (9%), затем Индия, Иран, Пакистан, Афганистан, Бельгия и Австрия (5%). «Лаборатория Касперского» даёт более обширную географию – следы трояна нашлись в 14 странах, к предыдущему списку добавились Германия, Бразилия, Индонезия, Малайзия, Сирия, Алжир, а также безобидные тихоокеанские острова Фиджи и Кирибати.

При этом ни Symantec, ни ЛК не говорят прямо, кем мог быть разработан такой троян. Но подчёркивают, что столь серьезная разработка, на которую ушли месяцы или даже годы, скорее всего велась «на государственном уровне».

Впрочем, в отчётах есть некоторые дополнительные намеки. Например, «Лаборатория Касперского» приводит статистику timestamps (отметок о том, в какое время обновлялся код зловреда во время разработки). По полученной статистике можно сделать вывод, что авторы трояна работают на полный день в офисе. И даже с обеденным перерывом:

image

Согласно статистике Symantec, 28% жертв трояна – это телекомы, 48% — отдельные личности и малый бизнес. Остальные зараженные — государственные, энергетические, финансовые и исследовательские компании. «Лаборатория Касперского» уточняет, что среди «отдельных личностей» троянец-шпион особенно интересовался персонажами, которые занимаются математическими или криптографическими исследованиями.

Эксперты «ЛК» также отмечают как наиболее интересный случай атаку на крупного GSM-оператора. Они обнаружили лог, согласно которому злоумышленники с помощью Regin получили доступ к контроллеру базовой станции (Ваse Station Controller) и могли менять настройки, а также выполнять различные управляющие команды. Лог датирован 2008 годом, но это не означает, что вирус перестал работать. Просто с тех пор злоумышленники могли улучшить свою технику «заметания следов» и перестали оставлять подобные логи.

Таким образом, мы возвращаемся к тому, с чего начался данный пост: попасть во внутреннюю сеть оператора не так уж сложно. Например, потому, что компоненты сотовой сети, включая и упомянутые выше базовые станции, строятся по модульному принципу — новые управляющие элементы ПО накатываются поверх уже существующего ПО, которое не обновляется. В результате система не только сохраняет все свои уязвимости, но и приобретает новые.

В частности, у некоторых операторов большое количество критичных систем, включая OSS, стоят на устаревшей и непропатченной MS Windows. Более подробно мы рассказывали про такие проблемы безопасности в докладе «Пять кошмаров для телекома» на PHDays III (слайды, видео). А здесь приведём лишь один наглядный пример подобной «находки» — это был один из аудитов безопасности, проводившихся экспертами Positive Technologies:

image

Уязвимости могут присутствовать не только в операционной системе, но и в телекоммуникационном оборудовании, правильная настройка которого очень важна.

image

Кстати, для любителей конспирологии – ещё одна любопытная деталь из отчёта Symantec. В пользовательском модуле трояна Regin найден командный файл, который обладает следующей функциональностью:

Skip Russian or English Microsoft files when scanning

— то есть шпионская программа почему-то не интересуется файлами на русском и английском. В связи с этим некоторые эксперты выдвигают предположение, что главной целью данного трояна является не Россия, а другие страны – арабские. Впрочем, идея спорная. Ведь речь идёт лишь об одной из конфигураций трояна, которая попала в Symantec. Как отмечают сами исследователи, этот шпионский софт даёт широкие возможности для заточки под конкретного «клиента».
Автор: @ptsecurity
Positive Technologies
рейтинг 1 016,14

Комментарии (36)

  • +1
    Судя по графику timestamps, в дедлайн и с переработками до середины ночи сдавалось процентов 7 работы:)
    • +8
      А еще, судя по графику, разработка велась на восточном побережье США.
      • +2
        GMT же. Если рабочий день обычно в 9 начинается, хотя программисты же совы — если график свободный то вполне могут приходить и к 11. Так что скорее Великобритания.
        Тут интересно другое — откуда вообще эти таймштампы в вирусе, что это такое физически?
        • 0
          Могу предположить, что это дата и время создания, например, какого-нибудь модуля. Если посмотреть на любую библиотеку в той же винде, то у есть время последнего изменения и время создания. Ведь модули подгружаются уже скомпилированными.
          • +2
            Могу предположить, что если разработка велась многие годы серьёзно, а не тяп-ляп, то должны быть учтены все (почти все) нюансы, в том числе поведение при обнаружении. И в этом случае логично подставить другую страну, подкинуть ложные улики и т.д. и т.п. Догадаться до подделки улик не так уж и сложно, чтобы исключать эту возможность или игнорировать её.

            А на «государственном уровне» реально вообще создать «зеркальную» организацию в другой стране, чтобы в случае опасности сдать её с потрохами. В это время настоящая организация уходит в подполье, зализывая раны (дыры в конспирации), чтобы сохранить уже нажитое непосильным трудом. Ведь компромат прошлых лет может со временем стать неожиданно полезным и ценным, так что он уже сейчас представляет ценность. А если слежка велась годами, то ценность огромная — и защита должна быть соответствующая, кто бы ни был к этому причастен.

            </paranoiamode>
      • 0
        Не соглашусь с вами, перерыв на обед в 10-11 утра — это как-то неправильно. Скорее Гренландия или Бразилия…

        P.S. Как-то раз, во время аудита, я обратил внимание, что код деплоится посреди ночи, на что мне ответили, что это нормально, так как на сервере выставлено время западного побережья США…
        • 0
          Если разработка велась летом, то, к примеру, Нью-Йоркское время это GMT+4, а значит обед был в 11 часов утра, что в принципе не так и странно.
          Хотя и Бразилия возможна, согласен. Правда, тогда неясно, почему игнорируются русский и английский языки, а не португальский.
          • 0
            Вы ошиблись знаком: Не GMT+4, а GMT-4/GMT-5 Так что немного не сходится: 8 утра в Нью Йорке, это около 4 часов дня по Москве.
            • 0
              Да, имелось ввиду конечно GMT-4. Остальные расчеты верны.
              • 0
                Что-то таки не сходится: каким образом при часовой разнице в 8(± 1) часов в Нью Йорке обедают в 11 утра по Москве? Обед по местному Нью Йоркскому времени — это вечернее время по Москве
                • –1
                  Признаю ошибку — график построен по GMT… * посыпает голову пеплом
        • –1
          Обеденный перерыв в 10-11 утра по Москве — это Киев (Московское зимне-«летнее» время в прошлом году)

          Сорри а тут уже я не в ту сторону посчитал )))
          • –1
            Раз там обедают раньше Москвы (10-11АМ МСК), значит разработка велась восточнее
            • –1
              это же надо было развести столько коментов и не глянуть по какому времени построен график…
              Прошу прощения…
  • 0
    На скриншоте maxpatrol?
    • +1
      Да, это MaxPatrol. С 2012 года мы работам над расширением поддержки телеком. устройств.
  • –4
    >> MS Windiws
    >> Шпионское ПО
    >> На государственном уровне

    А зачем разрабатывать троян «на государственном уровне» для платформы, которая по сути сама является одним большим трояном «на государственном уровне»?
    • +1
      Как раз платформа — далеко не троян, она просто дырявая. Сколь бы не была проста доставка троянского модуля жертве — сам модуль надо разработать в любом случае.
      • 0
        Она не дырявее любой другой, пишись «любая другая» по таким ТЗ и с таким метанием со стороны рук-ва компании. Им и обратную совместимость (не только со своим API, но и со своими багами, а еще и с чужими багами!) нужно соблюсти, и то сделать систему быструю, то новую-модерновую, то «опа, у нас идея. мы скрестим 8-ку и 7-ку», то еще что-то…

        Так что разработчикам руки надо жать. А уж что готовить ее не все умеют… Так и линукс не все готовят верно, ничего не попишешь.

        Это как замок в дверном замке дома — казалось бы, вышел за дверь — закрой ее на ключ, но если Марья Ивановна к соседке за солью вышла, она 100% дверь не закроет, а пока она будет отсутствовать (минуту ли ее не будет, или языками зацепятся — не суть), в квартиру легко войдет любой, даже не хакер (тьфу, не взломщик). Кто дурак, это дверь «дырявая», или юзер?
        • +1
          Дурак юзер. А дверь дырявая :)
    • +2
      Это уже доказано? Или Ваше мнение основано на гипотезах?
      Если Вы рассматриваете лишь возможность официального трояна в MS, то так и говорите — «возможно».

      А вообще это очень сложная тема, холиварная. И здесь нельзя однозначно делить всех на «плохих» и «хороших». Есть законы, которым MS должна подчиняться (или пользоваться ими). Но с точки зрения MS ей должно быть выгоднее избавляться от дыр, бэкдоров и троянов, а не наоборот.

      В любом случае, стоит опираться на факты. А в остальных случаях использоваться слова «возможно», «вероятно», «предположительно» и т.п.
    • +2
      На MS безусловно висит тяжкий груз совместимости со старым софтом, накопившийся за 20+ лет, и ее просто физически невозможно переработать по уму с тем человекоресом, что имеет доступ к исходникам. Называть эту беднягу намерено «Шпионским ПО» рука не поднимется, да и вирусописатели обычно не сообщают о найденных пробоинах куда положено.
      К MS у меня скорее сочувствие и надежда, чем недолюбливание. Попробуйте и Вы пересмотреть свое отношение — возможно не все так мрачно.
  • –6
    >> попасть во внутреннюю сеть оператора не так уж сложно

    Так это и ежу понятно:

    >> у некоторых операторов большое количество критичных систем, включая OSS, стоят на устаревшей и непропатченной MS Windows

    Точнее было бы даже сказать так:

    >> у некоторых операторов большое количество критичных систем, включая OSS, стоят на MS Windows

    Вывод: операторы — эталонные ССЗБ. Да и не только они — а вообще все, кто MS Windows использует не по назначению.
    • +7
      Правильно настроенный файервол сумеет защитить даже Windows 95. Главное — чтобы на сервере не запускали браузер :)
      • 0
        Даешь iptables в windows! )
        А если серьезно — есть в win системах штатный фаервол, сравнимый по функционалу с iptables, и притом не закрытый?
        • +1
          Достаточно поставить рядом второй компьютер с iptables, или циску какую-нибудь :) Или вообще разместить винду на виртуалке. Или скомбинировать все три подхода.

          Никто не ставит задачу поднятия защищенной системы на одной только 95й винде. Есть только задача «запустить вот эту программу родом из 90х, чтобы она работала».
    • +3
      А Вы попробуйте взять закрытую подключаемую к серверу железку стоимостью с самолёт, установить/настроить/ввести в эксплуатацию, подождать 10 лет и заменить сервер с ОС так, чтобы всё сразу продолжало работать. А тут наверняка такая ещё и не одна.
      • 0
        Чувствуется опыт работы в тех. поддержке. :-)
  • 0
    Я работал инженером в молодости, занимался эксплуатацией Alcatel S12 на GSM сети.
    Рабочее место оператора живёт по тем же законам, что и офисный комп. Сначала всё по правилам, а потом как пойдёт. Но это никого не пугает.
    Дело в том, что воровать реквизиты доступа имеет только к элементам подсистемы биллинга, а в ней столько элементов с перекрёстным контролем, что мама не горюй.
    Все остальные подсистемы GSM сетей невозможно модифицировать скрытно.
  • +1
    Вроде бы серьезный такой вирус, но не без юмора в коде.
    В докладе Касперского, в разделе «Unusual modules and artifacts»:

    Finally, the word ‘shit’ appears in many places throughout the code and modules.
    Картинка
    image
    • 0
      Точно дело рук американцев!
      • +2
        Вспомнил "/* Don't forget to remove this nafig! */"
  • +2
    Я наверняка что-то не понимаю, но почему функциональность с названием «Skip Russian or English Microsoft files when scanning» понимается как отсутствие интереса к русским и английским файлам? Это наверное просто возможность при поиске пропускать файлы системы и стандартных программ с русской и англ. локализацией.
  • –1
    Крайне опасная преступная группировка терроризирует беззащитных сотрудников неизвестной компании с помощью невероятно опасного оружия в неизвестном районе. В ходе расследования было установлено, что оружие разработано на базе новейших опасных технологий опасными учеными с опасным умыслом.
    • 0
      Знаете, с этой точки зрения опасна сама мысль о подобной опасности.
      Так где вы находитесь?.. :-)
  • 0
    Меня беспокоит мысль о том, что сколько уже статей про этот вирус, и во всех говорится о какой-то опасной опасности без всяких технических подробностей. Ведь как-то же специалисты поняли, насколько эта опасность опасна? Есть куча руткит-технологий, всякие перехваты апи, подмены, модификации системных таблиц, антиотладочные приемы, но ничего такого не упоминается. Просто опасность. Похоже на страшилку.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка