{"id":5306,"date":"2014-11-25T15:45:25","date_gmt":"2014-11-25T15:45:25","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5306"},"modified":"2020-02-26T17:27:36","modified_gmt":"2020-02-26T15:27:36","slug":"regin-la-campagna-apt-piu-sofisticata","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/regin-la-campagna-apt-piu-sofisticata\/5306\/","title":{"rendered":"Regin: la campagna APT pi\u00f9 sofisticata"},"content":{"rendered":"<p>Praticamente chiunque si occupi di campagne APT (Advanced Persistent Threat) conosce la sofisticata piattaforma di attacco dal nome \u201cRegin\u201d (che si pronuncia come l\u2019ex presidente statunitense Reagan). Quasi tutti gli esperti del settore ritengono si tratti di un\u2019operazione lautamente finanziata da qualche governo, ma non si pu\u00f2 risalire a quale con certezza.<\/p>\n<p>Sembra che molti, tra persone e organizzazioni, stiano creando dei dossier su Regin; la scorsa settimana Symantec ha pubblicato la prima versione del proprio report, a partire dal quale sono comparsi altri report dello stesso genere. Pi\u00f9 di un\u2019azienda e diversi ricercatori (compreso il <a href=\"https:\/\/threatpost.com\/costin-raiu-on-the-regin-apt-malware\/109548\" target=\"_blank\" rel=\"noopener nofollow\">GreAT \u2013 Global Research and Analysis Team di Kaspersky Lab<\/a>) considerano Regin la campagna APT pi\u00f9 sofisticata ad oggi conosciuta.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Highly-complex malware has secretly spied on computers for years, say researchers <a href=\"http:\/\/t.co\/ip7hkaDBEg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/ip7hkaDBEg<\/a> <a href=\"http:\/\/t.co\/TnHhxZS0C4\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/TnHhxZS0C4<\/a><\/p>\n<p>\u2014 The Verge (@verge) <a href=\"https:\/\/twitter.com\/verge\/status\/536627903623360512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 23, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In base a quanto scoperto da <a href=\"https:\/\/securelist.com\/blog\/research\/67741\/regin-nation-state-ownage-of-gsm-networks\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Lab<\/a>, la campagna APT Regin colpisce societ\u00e0 di telecomunicazioni, istituzioni governative, organizzazioni politiche operanti in varie nazioni, istituti finanziarie o di ricerca ed esperti in matematica avanzata e crittografia. I cybercriminali erano inizialmente interessati a raccogliere dati riservati (tra cui email e documenti) per favorire lo sviluppo di altre operazioni criminali. Il gruppo di hacker ha attaccato senza sosta non solo le compagnie di telecomunicazioni (il che ha senso) ma anche un fornitore di rete GSM, il che \u00e8 piuttosto inusuale.<\/p>\n<p>GSM \u00e8 l\u2019acronimo di Global System for Mobile Communications ed \u00e8 lo standard di telefonia mobile cellulare. Il GSM pi\u00f9 comune \u00e8 lo standard di seconda generazione (2G), il predecessore delle reti 3G o 4G. Tuttavia, da quanto emerge dai <a href=\"http:\/\/www.4gamericas.org\/index.cfm?fuseaction=page&amp;sectionid=242\" target=\"_blank\" rel=\"noopener nofollow\">vari report<\/a>, il GSM \u00e8 ancora lo standard di default delle reti mobili utilizzando dalla maggior parte delle compagnie di telecomunicazioni. \u00c8 disponibile in 219 paesi e copre il 90% del mercato mobile delle telecomunicazioni.<\/p>\n<div class=\"pullquote\">I cybercriminali potrebbero aver avuto accesso alle chiamate passate attraverso una cellula, trasferito tali chiamate ad altre cellule, attivato cellule vicine e portato a termine. altre attivit\u00e0 criminali.<\/div>\n<p>L\u2019aspetto pi\u00f9 importante e insolito dell\u2019operazione \u00e8 probabilmente la capacit\u00e0 di penetrare e controllare le reti GSM\u201d, ha dichiarato ieri il GreAT di Kaspersky Lab. \u201cOggigiorno siamo completamente dipendenti dalle reti cellulari che si basano su protocolli ormai antiquati e che offrono una protezione minima o addirittura assente per l\u2019utente finale. Sebbene tutte le reti GSM siano dotate di certi meccanismi interni che consentono alle forze di polizia di rintracciare eventuali sospettati, anche altre persone potrebbero sfruttare tali meccanismi a proprio piacimento per attaccare gli utenti\u201d.<\/p>\n<p>Kaspersky Lab ritiene che i cybercriminali siano riusciti a rubare le credenziali di accesso da una Base Station Controller GSM (o anche BSC) interna appartenente a una grande compagnia di telecomunicazioni e a entrare nelle cellule GSM di una rete. Il nostro collega <a href=\"https:\/\/threatpost.com\/regin-cyberespionage-platform-also-spies-on-gsm-networks\/109539\" target=\"_blank\" rel=\"noopener nofollow\">Mike Mimoso<\/a> di Threatpost ci ha fatto notare che le BSC gestiscono le chiamate man mano che si spostano sulla rete mobile, forniscono risorse e consentono il trasferimento di dati.<\/p>\n<p>\u201cCi\u00f2 significa che i cybercriminali potrebbero aver avuto accesso alle chiamate passate attraverso una cellula, trasferito tali chiamate ad altre cellule, attivato cellule vicine e portato a termine \u00a0altre attivit\u00e0 criminali\u201d, ha affermato il team dei ricercatori di Kaspersky Lab. \u201cAl momento i cybercriminali che hanno creato Regin sono gli unici in grado di portare a termine questo genere di operazioni\u201d.<\/p>\n<p>In poche parole, questi cybercriminali non solo riescono a controllare i metadata delle comunicazioni via cellulare, ma anche a reindirizzare le chiamate da un numero a un altro.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Secondo @Kaspersky, l\u2019#APT #Regin colpisce, oltre alle solite vittime, anche un sistema crittografico e uno standard GSM.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FeoG4&amp;text=Secondo+%40Kaspersky%2C+l%26%238217%3B%23APT+%23Regin+colpisce%2C+oltre+alle+solite+vittime%2C+anche+un+sistema+crittografico+e+uno+standard+GSM.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Il gruppo di hacker ha anche coinvolto il rinomato crittografo e matematico belga Jean-Jacques Quisquater. A febbraio di quest\u2019anno, in alcuni report \u00e8 emerso che sei mesi prima era stato hackerato il computer personale di Quisquater. Non \u00e8 cos\u00ec inusuale che i cybercriminali attachino i dispositivi degli esperti; tuttavia il caso di Quisquater \u00e8 leggermente diverso in quanto sembra avere delle somiglianze con un attacco che ha interessato la societ\u00e0 di telecomunicazioni Belgacom.<\/p>\n<p>Questo incidente faceva parte delle <a href=\"https:\/\/threatpost.com\/belgian-telco-belgacom-compromised\/102299\" target=\"_blank\" rel=\"noopener nofollow\">rivelazioni di Edward Snowden<\/a>, il quale ha dichiarato che l\u2019attacco alla societ\u00e0 belga era stato organizzato dall\u2019NSA e dalla corrispettiva agenzia inglese GCHQ. Ovviamente molti media hanno sospettato, date le somiglianze, che dietro l\u2019attacco a Quisquater ci fossero le intelligence inglese e americana. Sebbene n\u00e9 questo blog n\u00e9 Kaspersky Lab come azienda sostengano questa teoria, \u00e8 indubbio che si \u00e8 parlato spesso di questa particolarit\u00e0 \u00a0su molte testate giornalistiche e vale la pena sottolinearlo.<\/p>\n<p>Storia di Quisquater e GSM a parte, Regin \u00e8 degno di nota in quanto si tratta di una campagna APT davvero sofisticata ed efficace. I cybercriminali hanno creato delle backdoor per l\u2019infrastruttura di comando in modo da rimanere sulla rete delle vittime senza essere notati. Tutto il traffico dell\u2019APT era in formato criptato in modo tale che nessuno potesse osservarne il comportamento, criptando sia il traffico tra i cybercriminali e i server di controllo, sia il traffico tra il dispositivo della vittima e le infrastrutture di attacco.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Absolutely #1 coverage of <a href=\"https:\/\/twitter.com\/hashtag\/Regin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Regin<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> espionage campaign, must read to get the whole picture: <a href=\"http:\/\/t.co\/M1pEhnxCRa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/M1pEhnxCRa<\/a> by <a href=\"https:\/\/twitter.com\/KimZetter?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KimZetter<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/536995229501370368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 24, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La maggior parte delle comunicazioni di Regin avvengono tra dispositivi gi\u00e0 infetti (una sorta di droni della comunicazione)\u00a0 sulla rete della vittima. Questo sistema \u00e8 stato scelto per due ragioni: da un lato consente \u00a0accesso totale ai cybercriminali, dall\u2019altro limita lo scambio di dati tra la rete e il server command and control. Infatti, \u00e8 possibile notare qualcosa che non va quando si registra un passaggio di dati da una certa rete a una rete sconosciuta. Grazie a questa comunicazione interna \u201cpeer-to-peer\u201d, \u00e8 pi\u00f9 difficile registrare un flusso anomalo di dati, indice di un attacco in corso.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/11\/05232909\/Regin-graph-one-1024x640.png\" alt=\"\" width=\"1024\" height=\"640\"><\/p>\n<p>In un paese non specificato del Medio Oriente, ogni rete vittima identificata da Kaspersky Lab comunicava con tutte le altre reti secondo uno schema peer-to-peer. Nella rete globale c\u2019erano l\u2019ufficio del presidente di questo paese, un centro di ricerca, un centro educativo e una banca. In una di queste reti era presente un \u201cdrone\u201d capace di inoltrare i pacchetti di dati rubati a un server command and control in India.<\/p>\n<p>\u201cSi tratta di un meccanismo command and control piuttosto interessante che riesce a passare inosservato\u201d, ci spiegano i ricercatori. \u201cAd esempio, se tutti i comandi verso l\u2019ufficio del presidente vengono inviati attraverso la rete della banca, tutto il traffico visibile dagli amministratori di sistema dell\u2019ufficio del presidente sar\u00e0 solo quello proveniente dalla banca dello stesso paese, mentre il resto del traffico al di fuori non verr\u00e0 notato\u201d.<\/p>\n<p>Regin si organizza in cinque stadi in successione che danno ai cybercriminali l\u2019accesso totale alla rete delle vittime. I moduli del primo stadio contengono solo il file eseguibile immagazzinato nel computer della vittma; questo e tutti gli altri moduli posseggono certificati digitali Microsoft e Broadcom in modo tale che sembrino file leggitimi.<\/p>\n<p>I prodotti Kaspersky Lab individuano i seguenti moduli della piattaforma Regin: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin. Inoltre, Kaspersky Lab ha pubblicato un <a href=\"https:\/\/securelist.com\/files\/2014\/11\/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf\" target=\"_blank\" rel=\"noopener\">report tecnico dettagliato<\/a> a disposizione di chiunque voglia approfondire l\u2019argomento.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Regin, una nuova campagna APT, non solo attacca le solite vittime ma anche un sistema crittografico e uno standard GSM attraverso il quale avvengono le comunicazioni via cellulare.  <\/p>\n","protected":false},"author":42,"featured_media":5307,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[592,682,191,22,1278,95],"class_list":{"0":"post-5306","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apt","10":"tag-great","11":"tag-kaspersky-lab","12":"tag-malware-2","13":"tag-regin","14":"tag-ricerca"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/regin-la-campagna-apt-piu-sofisticata\/5306\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=5306"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5306\/revisions"}],"predecessor-version":[{"id":20595,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5306\/revisions\/20595"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/5307"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=5306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=5306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=5306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}