Nach der IT-Sicherheitsfirma Symantec hat nun auch Kaspersky Lab einen Bericht über die Cyberangriffsplattform "Regin" veröffentlicht. Darin wird dokumentiert, wie neben bisher bekannten Cyberspionageaktivitäten auch GSM-Netzwerke infiltriert und ausgespäht wurden. "Die Hintermänner von "Regin" haben bisher Computer in mindestens 14 Länder weltweit infiziert", so das Security-Firma.

Zugriff auf das gesamte Netzwerk

Die Plattform besteht aus verschiedenen Tools, mit denen die Angreifer Zugriff auf das gesamte Netzwerk einer Organisation erhalten können. Eine komplexe Kommunikationsmethode zwischen den infizierten Netzwerken und den Command-and-Control-Servern ermöglicht verdeckte Fernsteuerung und Datenübertragung.

Die Fähigkeit, in GSM-Netze einzudringen und sie zu überwachen, ist vermutlich der ungewöhnlichste und interessanteste Aspekt dieser Operation.

Anrufe können umgeleitet werden

Das Unternehmen konnte während seiner Untersuchung die Aktivitäten eines GSM Base Station Controllers erlangen. Entsprechend der Analyse haben die Angreifer Zugangsdaten erlangt, mit deren Hilfe sie GSM-Zellen eines großen Mobilfunkunternehmens unter ihre Kontrolle bringen können. Damit könnten sie Zugriff auf Informationen erhalten haben, welche Anrufe von bestimmten GSM-Zellen verarbeitet wurden. Zudem hätten die Angreifer diese Anrufe in andere Zellen umleiten oder benachbarte Zellen aktivieren sowie weitere schädliche Aktivitäten entfalten können. Die Angreifer hinter Regin sind aktuell die einzig bekannte Gruppe, die entsprechende Operationen durchführen kann.

Kaspersky Lab ist im Frühjahr 2012 auf Regin aufmerksam geworden. Seither hat der IT-Sicherheitsexperte die Spionagekampagne analysiert.

Hintermänner

Über die möglichen Hintermänner kann man nur spekulieren, doch deuteten die Zielländer auf einen westlichen Geheimdienst hin, so Experten. Betroffen sind Windows-Rechner. (sum, 24.11. 2014)