Pirmuosius „Regin“ aktyvumo pėdsakus „Kaspersky Lab“ ekspertai aptiko dar 2012 m. pavasarį. Nuo tada šios kenkėjiškos programinės įrangos pavyzdžiai buvo periodiškai aptinkami, bet neturėjo tiesioginio tarpusavio ryšio.
Tačiau tyrimo metu specialistai pastebėjo daugybę „Regin“ tipo kibernetinių atakų į vyriausybines organizacijas ir telekomunikacijų bendroves – būtent tai leido gauti pakankamai duomenų nuodugniam kenkėjiškos platformos tyrimui.
Viruso tyrimas parodė, kad platformą „Regin“ sudaro daugybė kenkėjiškų instrumentų ir modulių, gebančių užkrėsti organizacijų tinklus ir nuotoliniu būdu juos kontroliuoti visais galimais lygiais.
Išnagrinėję duomenų perdavimo iš užkrėstų organizacijų procesus vienoje šalyje, ekspertai nustatė, kad tik viename iš sukompromituotų tinklų buvo nustatytas ryšys su atakuojančiu serveriu, esančiu kitoje šalyje. Tuo pat metu visi užkrėsti tinklai vienoje valstybėje galėjo komunikuoti tarpusavyje keisdamiesi informacija. Tokiu būdu apgavikai surinko visus jiems reikalingus duomenis tik vienos aukos serveriuose. Būtent šis techninis platformos „Regin“ ypatumas ir leido kibernetiniams nusikaltėliams veikti nepastebimai tokį ilgą laiką. Tačiau pati įdomiausia kenkėjiškos platformos „Regin“ funkcija yra joje realizuota galimybė atakuoti GSM tinklus. Apgavikai geba ištraukti registracinius duomenis GSM celės kontrolei mobiliojo tinklo ribose. Tokiu būdu jie gali išsiaiškinti, kurie skambučiai apdorojami konkrečioje tinklo celėje, turi galimybę nukreipti skambučius į kitas celes arba aktyvinti kaimynines, taip pat vykdyti kitus kenkėjiškus veiksmus.
Šiuo metu GSM tinklų kontrolės funkcijų nėra nė vienoje žinomoje kenkėjiškoje programinėje įrangoje.
„Gebėjimas patekti į GSM tinklus yra, tikriausiai, neįprasčiausias kenkėjiškos platformos „Regin“ aspektas. Šiuolaikiniame pasaulyje mes pernelyg priklausome nuo mobiliojo ryšio, tačiau šiandien naudojami pasenę komunikacijos protokolai, nesugebantys užtikrinti galutinio vartotojo saugumo. Kita vertus, visi GSM tinklai turi mechanizmų, kurie leidžia teisėsaugos institucijoms sekti įtartinus incidentus. Tačiau būtent ši techninė galimybė suteikia apgavikams šansą patekti į tinklą ir vykdyti kenkėjiškus veiksmus“, – atskleidžia Kostinas Raju, „Kaspersky Lab“ globalių tyrimų ir analizės centro vadovas.
