Сразу несколько антивирусных компания заявили об обнаружение новой вирусной угрозе, сравнимой по поражающему эффекту Stuxnet, которая в дополнение имеет атакующий модуль для GSM-сетей. Новый зловред получил название "Regin". Этот бэкдор предоставляет своим владельцам широкие возможности конфигурирования под конкретные нужды и цели, массового слежения за деятельностью организаций. Уровень разработки и структуры Regin таков, что за его созданием вероятно стоит правительственная организация со специалистами высочайшего класса, утверждают в один голос представители Symantec и «Лаборатории Касперского». Заражение вирусом Regin происходит в пять стадий, причем все они скрыты и зашифрованы, за исключением первой стадии (загрузчика-установщика). После исполнения первой части начинается «эффект домино» по дешифровке и загрузке следующих стадий, причем каждая из них содержит минимум информации об общей структуре. Regin использует модульный принцип, дающий создателям возможность конфигурирования под конкретную цель. Такой подход ранее наблюдался в Duqu и Stuxnet. Основная активность распространение вируса Regin проходится на период с 2008 по 2011 годы, но его новая версия возобновила деятельность с 2013 года. Практически половина от пострадавших (48%) это частные лица и малый бизнес, но весомая доля (28%) принадлежит оборудованию связи. Создателей Regin больше всего интересовали цели, расположенные на территории РФ и Саудовской Аравии. Источником инфекции могут быть как поддельные версии известных сайтов, так и незакрытые уязвимости в веб-браузерах или отдельных приложениях, к примеру, Yahoo! Instant Messenger. Возможности Regin не ограничиваются удаленным доступом со снятием скриншотов, контроля над указателем мыши и клавиатурой, кражей паролей, восстановлением удаленных файлов и наблюдением за сетевым трафиком. Наиболее интересной функцией вредоносной платформы Regin является реализованная в ней возможность атаковать GSM-сети. Согласно информации, полученной экспертами «Лаборатории Касперского» из контроллера базовой станции GSM, злоумышленники способны извлекать регистрационные данные для контроля GSM-ячеек в рамках сотовой сети телекоммуникационного оператора. Таким образом, они могут узнавать, какие звонки обрабатываются в конкретной ячейке сети, имеют возможность перенаправлять звонки в другие ячейки или активировать соседние, а также осуществлять другие вредоносные действия. В настоящее время функции контроля GSM-сетей не присутствуют ни в одном другом известном вирусе.
Источник