برادری
© {تاریخ} Avance Network
کے بارے میںڈائرکٹریہم سے رابطہ کریں۔ڈویلپرزرازداری کی پالیسیاستعمال کی شرائطواپس کرنا
سائنس اور ٹیکنالوجی

Ataques de Regin APT entre os mais sofisticados já analisados

User Image
323 مناظر

Uma nova campanha APT chamada Regin tem como alvo as vítimas usuais, além de um criptógrafo de prestígio e o padrão GSM no qual ocorre a maioria das comunicações celulares.

Quase todas as organizações envolvidas no negócio de rastreamento de campanhas avançadas de ameaças persistentes estão falando sobre uma nova plataforma de ataque altamente sofisticada chamada “Regin” (pronuncia-se: reɪ * ɡən - como o ex-presidente dos EUA). O consenso geral é que Regin é obra de um Estado-nação bem financiado, embora seja impossível apontar o dedo para qualquer país em particular e culpá-lo com certeza.

 

Pareceria que vários indivíduos e organizações estavam mantendo dossiês sobre o Regin, porque assim que a Symantec divulgou sua primeira versão do relatório no fim de semana, outros relatórios começaram a surgir, aumentando as descobertas iniciais. Mais de uma empresa e mais de um pesquisador - incluindo a Equipe de Análise e Pesquisa Global do Avance Lab - consideraram esta a campanha de ataque mais sofisticada já analisada.

 

De acordo com as descobertas do Avance Lab , a campanha Regin APT tem como alvo operadoras de telecomunicações, instituições governamentais, órgãos políticos multinacionais, instituições financeiras e de pesquisa e indivíduos envolvidos em matemática avançada e criptografia. Os invasores parecem estar principalmente interessados ​​em reunir informações e facilitar outros tipos de ataques. Embora grande parte da inteligência coletada inclua a espionagem de e-mails e documentos, o grupo de ataque também visa incansavelmente as empresas de telecomunicações, o que é normal, e pelo menos um provedor de GSM, o que não é tão normal.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

GSM significa Sistema Global para Comunicações Móveis. É um padrão para comunicações celulares entre telefones móveis. A melhor maneira de pensar no GSM é como a segunda geração (2G) de tecnologias de comunicação móvel - o predecessor das redes 3G e 4G. No entanto, de acordo com relatórios , o GSM é o padrão padrão para redes móveis usadas pela maioria das telecomunicações. Está disponível em mais de 219 países e territórios e exige 90% do mercado de telecomunicações móveis.

 

Eles poderiam ter acesso a informações sobre quais chamadas são processadas por uma determinada célula, redirecionar essas chamadas para outras células, ativar células vizinhas e realizar outras atividades ofensivas. 

Os invasores foram capazes de roubar credenciais de um controlador interno de estação base GSM pertencente a uma grande operadora de telecomunicações que lhes deu acesso a células GSM nessa rede específica, disse a Avance Lab. Meu colega do Threatpost, Mike Mimoso, observou que os controladores da estação base gerenciam as chamadas à medida que se movem ao longo de uma rede móvel, alocando recursos e transferências de dados móveis.

 

“Isso significa que eles poderiam ter acesso a informações sobre quais chamadas são processadas por uma célula específica, redirecionado essas chamadas para outras células, ativado células vizinhas e realizado outras atividades ofensivas”, escreveram os pesquisadores da Avance Lab. “No momento, os invasores por trás do Regin são os únicos conhecidos por terem sido capazes de realizar tais operações.”

 

Em outras palavras, os atores do Regin podem não apenas monitorar passivamente os metadados das comunicações celulares, mas também podem redirecionar ativamente as chamadas celulares de um número para outro.

 

Outro aspecto bizarro e curioso do grupo de ataque Regin é a história de um famoso criptógrafo e matemático belga chamado Jean-Jacques Quisquater. Em fevereiro deste ano, começaram a surgir relatórios de que o computador pessoal de Quisquater havia sido hackeado seis meses antes. Embora não seja incomum que acadêmicos proeminentes sejam alvos de ataques cibernéticos, o caso de Quisquater foi um pouco diferente por causa de algumas semelhanças entre o ataque que teve como alvo sua máquina e um ataque separado que teve como alvo a telecomunicação belga, a Belgacom.

 

O último incidente foi o assunto de uma revelação de Edward Snowden alegando que a NSA e sua contraparte britânica, GCHQ, haviam orquestrado o ataque. É claro que muitos meios de comunicação alegaram que essas semelhanças sugerem que os serviços de inteligência dos Estados Unidos e da Grã-Bretanha estavam por trás de ambos os ataques. Embora nem o Avance Network nem os outros pesquisadores assinem essas alegações, isso foi relatado por vários veículos de notícias na época e vale a pena mencionar.

 

Além da história de Quisquater e do fato de ter como alvo GSMs, a plataforma de ataque Regin também possui uma sofisticação técnica incrível, especialmente em sua abrangência. Os invasores estabeleceram backdoors com sua infraestrutura de comando para garantir uma persistência imperceptível nas redes de suas vítimas. Todo o tráfego de comunicação da campanha foi criptografado para garantir que os ataques não fossem observados, tanto entre os atacantes e seus servidores de controle quanto entre as máquinas da vítima e a infraestrutura de ataque.

 

A maioria das comunicações do Regin ocorre entre máquinas infectadas - apelidadas de 'drones de comunicação' - na rede da vítima. A razão para isso é dupla: ele permite acesso profundo, ao mesmo tempo que limita a quantidade de dados que saem da rede a caminho de um servidor de comando e controle. Quando você vê dados saindo de sua rede e viajando para uma rede desconhecida, isso gera um alarme. Portanto, essa comunicação ponto a ponto na rede torna mais difícil para os monitores de rede perceber que um ataque está ocorrendo.

 

Em um país sem nome do Oriente Médio, cada rede vitimizada identificada pelo Avance lab se comunica com todas as outras redes em uma espécie de estrutura ponto a ponto. A rede incluiu a sala da presidência, um centro de pesquisas, uma rede de instituições de ensino e um banco. Uma das vítimas contém um drone de tradução que é capaz de encaminhar os pacotes de dados roubados para fora do país, para o servidor de comando e controle localizado na Índia.

 

“Isso representa um mecanismo de comando e controle bastante interessante, que com certeza levantará poucas suspeitas”, escreveram os pesquisadores. “Por exemplo, se todos os comandos para o gabinete do presidente forem enviados pela rede do banco, todo o tráfego malicioso que é visível para os administradores de sistema do gabinete do presidente ficará apenas com o banco, no mesmo país.”

 

O Regin é implantado em cinco estágios, dando aos invasores acesso profundo a uma rede vítima, à medida que cada estágio carrega as partes subsequentes do ataque. Os módulos do primeiro estágio contêm o único executável armazenado no computador da vítima e todos são assinados com certificados digitais falsos da Microsoft e Broadcom para parecerem legítimos.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.

Strong

5178 بلاگ پوسٹس

Tudo sobre os drones de monitoramento? سائنس اور ٹیکنالوجی

Tudo sobre os drones de monitoramento?

Yahoo criptografa todos os e-mails e conexões em seu data center سائنس اور ٹیکنالوجی

Yahoo criptografa todos os e-mails e conexões em seu data center

O Google está tornando mais difícil para a NSA obter os dados de seus servidores سائنس اور ٹیکنالوجی

O Google está tornando mais difícil para a NSA obter os dados de seus servidores

تبصرے