viernes, 2 de enero de 2015

Lo que sabemos del malware Regin


I. ¿Qué es Regin?

  • Es un software malicioso (malware) utilizado para recolectar información y monitorear objetivos como parte de operaciones de espionaje y vigilancia.
  • Por su complejidad es considerado el malware más avanzado descubierto a la fecha.
  • Está en campaña por lo menos desde el 2008 aunque algunos creen que puede tener más de 10 años de actividad.
Driver utilizado por Regin para enmarcararse. Tiene fecha de compilación en el 2008.
Driver utilizado por Regin para enmarcararse. Tiene fecha de compilación en el 2008 (fuente)


  • Regin es el último ejemplo descubierto del software ofensivo en el que diferentes gobiernos están trabajando en secreto como un elemento más de su estrategia de “Seguridad Nacional”.
  • Entre los antecedentes de Regin tenemos a Stuxnet y Flame (EEUU), Red October y Turla (Rusia) y GhostNet (China). También podemos mencionar a HackingTeam y FinFisher, empresas que venden software espía a gobiernos que no tienen la capacidad de desarrollarlos por sí mismos.

II. Creadores de Regin

  • Debido a la gran cantidad de tiempo y recursos que se han tenido que emplear para su desarrollo y operación lo más probable que Regin sea un trabajo de alguna entidad gubernamental.
  • Posiblemente se trate del gobierno de los EEUU en colaboración con el Reino Unido. Nótese en el punto Victimas de Regin que ninguno de los países miembros de los Cinco Ojos (alianza de los servicios secretos de EEUU, Reino Unido, Canadá, Australia y Nueva Zelandia) se encuentra entre los países victimas del malware, incluso las campañas de Regin contra Belgacom y la Unión Europea se encuentran reseñados en documentos de la NSA liberados por Edward Snowden (en estos informes no se identifica el malware utilizado, pero todo indica que se trata de Regin).
  • Además revisando el catálogo ANT de la NSA parece que los programas UNITEDDRAKE y STRAIGHTBIZARRE corresponden a componentes de Regin. 


  • Al respecto, para la firma de seguridad Fox-IT Regin es un proyecto de EEUU y el Reino Unido, Symantec considera que se necesita una evidencia muy fuerte para no creer en la autoría anglo-americana mientras F-Secure se limita a negar que sea un trabajo de Rusia o China.

III. Características de Regin

  • Funcionalidades: Desde obtener capturas de pantalla, grabar las pulsaciones del teclado, monitorear el tráfico de la red, recuperar archivos borrados hasta interceptar tráfico celular GSM y buscar registros de reservas de hotel.
  • Arquitectura: Regin funciona como un framework para diferentes tipos de malware, pudiendo ser adaptado y utilizado contra una variedad de entidades e individuos.
  • Vector de Infección: Spear phishing y sitios web falsos en combinación con exploits y zero days.
  • Proceso de arranque: Sigue una secuencia de carga de 5 etapas en la que sólo la primera esta sin cifrar. Esto permite que incluso si es detectado sea muy difícil saber que está haciendo.  
Proceso de despliegue de Regin en un equipo infectado
Proceso de despliegue de Regin en un equipo infectado (fuente)

  • Capacidad de ocultación: Pensando que este oculto por varios años, Regin cuenta con su propio sistema de archivos cifrado llamado Encrypted Volume and File System (EVFS), empleando en este una variante del cipher RC5. Además guarda sus componentes en entradas del registro o en los atributos NTFS de archivos.
  • Comunicación con el servidos de Comando y Control (C&C): Si hay múltiples equipos o redes infectadas con Regin, sólo uno de estos tiene que comunicarse con el C&C vía Internet, actuando como puente para el resto a través de comunicaciones P2P. Como canales para filtrar la información, aparte de los usuales TCP y UDP, emplea ICMP ping y cookies HTTP. 

IV. Victimas de Regin

  • Objetivos variados: Entre sus cientos de víctimas tenemos entidades gubernamentales, operadoras de telecomunicaciones, instituciones financieras, académicas, de investigación, pequeñas y medianas empresas (PyME) e individuos. Las dos últimas representan casi la mitad de las infecciones. 
 
Los tipo de objetivos atacados por Regin. Las PyME e indivduos contabilizan el 48% del total.
Los tipo de objetivos atacados por Regin. Las PyME e indivduos contabilizan el 48% del total (fuente)

  • Agrupando a las víctimas de Regin según su país de origen:
Rusia (28%)
Arabia Saudita (24%)
México (9%)
Irlanda (9%), Bélgica (9%), Austria (9%)
Irán (5%), Afganistán (5%), Pakistán (5%) 


V. Ataques Emblemáticos Conocidos

  • Belgacom: Operador belga de telecomunicaciones. Tiene entre sus clientes a la Comisión Europea, al Parlamento Europeo y al Consejo Europeo. El 2010 se enviaron a los ingenieros de Belgacom correos electrónicos con enlaces a una página falsa de Linkedin, al caer estos en el engaño los operadores de Regin obtuvieron acceso a las redes internas de la empresa. Con esto, entre otras cosas, ganaron la habilidad de redirigir las llamadas hechas en ese operador hacia la infraestructura de los atacantes.
  • Operador de celular del Medio Oriente no identificado: Ataque ejecutado el 2008. Posiblemente se trate de una compañía ubicada en Afganistán.
  • País del Medio Oriente no identificado: Regin consiguió acceso a las redes de la oficina presidencial, de un banco, una institución educativa y un centro de investigación.
El ataque de Regin a un país del Medio Oriente. Se muestra la comunicación con el C&C ubicado en la India (fuente)

  • Jean-Jacques Quisquater: Conocido criptógrafo y profesor universitario belga. El 2013 su computadora fue infectada por Regin tras hacer click en una invitación falsa para unirse a una red social. Durante unos 6 meses los atacantes pudieron seguir las acciones que Quisquater realizó en dicha máquina.   

VI. Detección e Identificación de Regin

  • Se han identificado dos versiones del malware, una primera versión activa entre 2008 y 2011 y, luego de 02 años de inactividad, una segunda versión en curso desde el 2013. No se descarta la existencia de nuevas versiones.
  • Las empresas de seguridad habían detectado a Regin años atrás:
F-Secure (2009)
Virus Total (2009)
Microsoft (2011)
Kaspersky (2011)
Symantec (2013)
  • Que Symantec hiciera público la existencia de Regin el 23 de noviembre del 2014 fue para anticiparse a The Intercept que estaba por presentar sus propios hallazgos del malware (algo que hizo el 24, un día después de Symantec).
  • Justificando el tiempo pasado entre la identificación de Regin y la publicación de sus investigaciones, estas empresas manifiestan que guardaron silencio al no tener un conocimiento completo de Regin y, en el caso de F-Secure, por acuerdos de confidencialidad con sus clientes. Fox-IT señala que prefirieron no hacer público lo que sabían del malware para no dañar operaciones en curso de la NSA/GCHQ.

VII. Para saber más


Symantec – Regin: Top-tier espionage tool enables stealthy surveillance
Kaspersky – Regin: nation-state ownage of GSM networks
The Intercept – Secret Malware in European Union Attack Linked to U.S. and British Intelligence
Mashable – What we know about 'Regin,' the powerful malware that could be the work of NSA
SC Magazine – NSA, GCHQ or both behind Stuxnet-like Regin malware?
F-Secure – The Regin Espionage Toolkit
Norton – Regin Malware Alert
Security Now Ep. 483 – Podcast y Notas
Wikipedia – Regin (malware)
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)