Компании Symantec и «Лаборатория Касперского» сообщили о вирусе-шпионе Regin, целью которого были телекоммуникационные сети. По словам главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева, по сложности этот вирус не уступает, а в некоторых компонентах даже превосходит знаменитый Stuxnet, который в 2010 г. вывел из строя центрифуги для обогащения урана на ядерных объектах Ирана (по информации газеты The New York Times, атаки проводились по приказу президента США Барака Обамы, официальные представители США это отрицали).
Одна из самых необычных особенностей вируса Regin - способность вести слежку на сетях сотовой связи стандарта GSM, говорит Гостев. Пока это единственный вирус с такими возможностями, говорится в сообщении «Лаборатории Касперского». Судя по журналу действий вируса на контроллере базовой станции, который получили исследователи «Лаборатории Касперского», у атакующих была возможность доступа к управлению сотами сети крупного сотового оператора. В частности, они могли получать информацию о звонках и перенаправлять эти звонки на другие соты. По словам Гостева, среди известных случаев нет таких, когда злоумышленники реально перехватывали бы звонки или sms, не найдено и модулей Regin с такими функциями, но очевидно, что именно это было конечной целью авторов вируса.
Еще одна особенность вируса - возможность передавать информацию и команды между зараженными компьютерами в одной сети, устанавливая соединения, похожие на VPN (виртуальная частная сеть). Это позволяет вирусу скрывать свою активность и получать информацию с компьютеров корпоративной сети - достаточно, чтобы хотя бы один из зараженных компьютеров имел выход в интернет. В результате вирус мог действовать в организациях годы, не вызывая подозрений.
Самые ранние из известных образцов Regin написаны не позже 2003 г., говорится в сообщении «Лаборатории Касперского». В апреле 2008 г. атакующие получили права администратора, позволяющие управлять GSM-сетью в одной из стран Ближнего и Среднего Востока. А обнаружен вирус был лишь в 2012 г. С 2008 по 2011 г. им были заражены многие организации, но потом вирус внезапно исчез и его новая версия появилась лишь в 2013 г., сообщает Symantec.
Возможности Regin и уровень стоящих за ним ресурсов позволяют говорить, что это один из основных инструментов государственного кибершпионажа, считают эксперты Symantec. Его разработка заняла, по их мнению, месяцы, если не годы. Установить способы заражения Regin специалистам Symantec не удалось. Однако они выяснили, что атака состоит из пяти стадий. Разработчики вируса постарались сделать его насколько возможно незаметным. Но даже когда его удается обнаружить, очень трудно установить, что вирус делает, говорится в отчете Symantec.
Современный мир очень зависим от мобильной связи, а между тем разработчики телекомоборудования используют устаревшие коммуникационные протоколы, не способные в достаточной мере обеспечить безопасность пользователя, говорит руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского» Костин Райю. Все GSM-сети имеют встроенные механизмы, позволяющие правоохранительным органам отслеживать подозрительные инциденты, и именно эта техническая возможность дает злоумышленникам шанс проникнуть в сеть и воздействовать на нее, объясняет он.
«Лаборатории Касперского» известно около 30 случаев заражений этим вирусом, на Россию приходится пять-шесть, в основном пострадали исследовательские и госорганизации, говорит Гостев. Информации о заражениях сетей российских операторов связи у «Лаборатории Касперского» нет; эксперты Symantec утверждают, что один такой случай есть. Представители МТС, «Мегафона», «Вымпелкома» и «Ростелекома» говорят, что в сетях их компаний случаев заражения Regin не выявлено.