• Principalele victimeale operațiunii Regin sunt: operatori de telecomunicații, instituții guvernamentale și financiare, organizații de cercetare, organizații politice multinaționale și utilizatori individuali implicați în cercetare matematică/criptografică avansată.
• Victime au fost localizate în Algeria, Afghanistan, Belgia, Brazilia, Fiji, Germania, Iran, India, Indonezia, Kiribati, Malaysia, Pakistan, Siria și Rusia.
• Platforma Regin constă în multiple instrumente periculoase care pot compromite o întreagă rețea organizațională. Platforma Regin utilizează o metodă de comunicare complexă între rețelele infectate și serverele de comandă și control, permițând controlul la distanță și transmitereadatelor pe ascuns.
• Un modul Regin poate monitoriza sistemele de control ale celulelor GSM, colectând date despre celulele GSM și infrastructura rețelei.
• În aprilie 2008, atacatorii au colectat informații administrative care le-au permis să manipulezecel putin o rețea GSM dintr-o țară din Orientul Mijlociu.
• Unele mostre Regin par să fi fost create încă din 2003.
În primăvara anului 2012, experții Kaspersky Lab au inițiat analiza malware-ul Regin care părea să fie instrumentul unei campanii sofisticate de spionaj cibernetic. Experții Kaspersky Lab au urmărit acest malware pe o perioadă de aproape trei ani consecutivi.
Din când în când,experții Kaspesky Lab descopereau mostre fără o legătură pe mai multe servicii publice de scanare, cu o funcționalitate obscură și fărăuncontext specific. Totuși, experții Kaspersky Lab au obținut și câteva mostre utilizate în atacuri reale, inclusiv în atacurile împotriva instituțiilor guvernamentale și a operatorilor telecom, descoperind suficiente informații pentru a putea analiza această amenințare în detaliu.
Studiul aprofundat a arătat că Regin nu este doar un program periculos, ci o platformă – un pachet software care constă în multiple module ce pot infectarețeleleorganizațiilor vizate, cu scopul de a obține control de la distanță pe toate nivelele posibile. Atacatorii din spatele Regin urmăresc să colecteze date confidențiale din rețelele atacate.
Actorul din spatele platformei Regin are o metodă bine dezvoltată pentru controlul rețelelor infectate. Experții Kaspersky Lab au descoperit câteva organizații compromise într-o țară,însă doar una dintre acestea era programată să comunice cu serverul de comandă și control localizat într-o altă țară.
Totuși, toate victimele Regin fac parte dintr-o rețea VPN de tip peer-to-peer, acestea fiind capabile să comunice între ele. Astfel, atacatorii au transformat toate organizațiile compromise într-o singură entitate, având posibilitatea să trimită comenzi și să sustragă informații prin intermediul unui singur punct de acces. Conform rezultatelor descoperite de experții Kaspersky Lab, această structură le-a permis atacatorilor să opereze în tăcere timp de mai mulți ani, fără a crea suspiciuni.
O caracteristică originală și interesantă a platformei Regin este capacitatea acesteia de a ataca rețelele GSM. Conform unor informații logate pe sistemul de control al celulelor GSM obținute de experții Kaspersky Lab în timpul investigației, atacatorii puteau accesadate care le permiteau să controleze celulele GSM din rețeaua unui operator de telecomunicații important. Acest lucru înseamnă că atacatorii aveau acces la informațiile despre apelurile procesate de o anumită celulă, și erau capabili să redirecționeze aceste apeluri către alte celule,sausă activezecelulevecine. În prezent, conform descoperirilor, atacatorii din spatele Regin sunt singurii atacatori capabili de astfel de operațiuni.
„Capacitatea de a accesa și monitoriza rețelele GSM este poate cel mai neobișnuit și interesant aspect al acestor operațiuni,” a declarat Costin Raiu, Director of Global Research and Analysis Team la Kaspersky Lab. „Am devenit prea dependenți de rețelele de telefonie mobilă, iar acestea utilizează protocoale de comunicare învechite,care nu oferă securitate adecvată utilizatorului final. Deși rețelele GSM au mecanisme integrate care permit entităților precum organizațiile de aplicare a legii să identifice suspecții, infractorii cibernetici se pot folosi de aceaste mecanisme pentru a lansa diferite atacuri asupra utilizatorilor de telefoane mobilă,” a explicat Costin Raiu.