Regin (también conocido como Prax o QWERTY ) es un sofisticado malware y kit de herramientas de piratería utilizado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su contraparte británica, el Cuartel General de Comunicaciones del Gobierno (GCHQ). [1] [2] [3] Fue revelado públicamente por primera vez por Kaspersky Lab , Symantec y The Intercept en noviembre de 2014. [4] [5] El malware se dirige a usuarios específicos de computadoras basadas en Microsoft Windows y se ha vinculado a la agencia de recopilación de inteligencia estadounidense NSA y su contraparte británica, el GCHQ . [6] [7] [8] The Intercept proporcionó muestras de Regin para descargar, incluido malware descubierto en un proveedor de telecomunicaciones belga, Belgacom . [5] Kaspersky Lab afirma que se dio cuenta por primera vez de Regin en la primavera de 2012, pero algunas de las primeras muestras datan de 2003. [9] (El nombre Regin se encontró por primera vez en el sitio web de VirusTotal el 9 de marzo de 2011. [5] ) Entre las computadoras infectadas en todo el mundo por Regin, el 28 por ciento estaban en Rusia , el 24 por ciento en Arabia Saudita , el 9 por ciento en México e Irlanda , y el 5 por ciento en India , Afganistán , Irán , Bélgica , Austria y Pakistán . [10]
Kaspersky ha afirmado que las principales víctimas del malware son particulares, pequeñas empresas y compañías de telecomunicaciones . Regin ha sido comparado con Stuxnet y se cree que ha sido desarrollado por "equipos de desarrolladores con muchos recursos", posiblemente un gobierno occidental , como una herramienta de recopilación de datos multipropósito. [11] [12] [13]
Según Die Welt , los expertos en seguridad de Microsoft le dieron el nombre de "Regin" en 2011, en honor al astuto enano nórdico Regin . [14]
Regin utiliza un enfoque modular que le permite cargar funciones que se adaptan exactamente al objetivo, lo que permite un espionaje personalizado. El diseño lo hace muy adecuado para operaciones de vigilancia masiva persistentes y a largo plazo contra objetivos. [15] [16]
Regin es sigiloso y no almacena múltiples archivos en el sistema infectado; en su lugar, utiliza su propio sistema de archivos virtuales cifrados (EVFS) contenido completamente dentro de lo que parece un solo archivo con un nombre inocuo para el host, dentro del cual los archivos se identifican solo por un código numérico, no un nombre. El EVFS emplea una variante de cifrado del raramente utilizado RC5 . [16] Regin se comunica a través de Internet utilizando ICMP / ping , comandos integrados en cookies HTTP y protocolos TCP y UDP personalizados con un servidor de comando y control que puede controlar operaciones, cargar cargas útiles adicionales , etc. [10] [12]
Symantec afirma que tanto ellos como Kaspersky identificaron el malware como Backdoor.Regin . [10] La mayoría de los programas antivirus, incluido Kaspersky, (a fecha de octubre de 2015) NO identifican la muestra de Regin lanzada por The Intercept como malware. [17] El 9 de marzo de 2011, Microsoft agregó entradas relacionadas a su Enciclopedia de malware; [18] [19] más tarde se agregaron dos variantes más, Regin.B y Regin.C . Microsoft parece llamar a las variantes de 64 bits de Regin Prax.A y Prax.B. Las entradas de Microsoft no tienen ninguna información técnica. [5] Tanto Kaspersky como Symantec han publicado documentos técnicos con información que obtuvieron sobre el malware. [12] [13]
La revista de noticias alemana Der Spiegel informó en junio de 2013 que la Agencia de Seguridad Nacional (NSA) de inteligencia estadounidense había llevado a cabo vigilancia en línea tanto de ciudadanos de la Unión Europea (UE) como de instituciones de la UE. La información se deriva de documentos secretos obtenidos por el ex trabajador de la NSA Edward Snowden . Tanto Der Spiegel como The Intercept citan un documento secreto de la NSA de 2010 que afirma que realizó ciberataques ese año, sin especificar el malware utilizado, contra las representaciones diplomáticas de la UE en Washington, DC y sus representaciones ante las Naciones Unidas . [5] [20] Los investigadores encontraron señales que identificaban el software utilizado como Regin en las máquinas infectadas.
The Intercept informó que, en 2013, el GCHQ del Reino Unido atacó a Belgacom , la empresa de telecomunicaciones más grande de Bélgica. [5] Estos ataques pueden haber llevado a que Regin llamara la atención de las empresas de seguridad. Basándose en el análisis realizado por la empresa de seguridad informática Fox IT, Der Spiegel informó en noviembre de 2014 que Regin es una herramienta de las agencias de inteligencia del Reino Unido y los Estados Unidos. Fox IT encontró a Regin en las computadoras de uno de sus clientes y, según su análisis, partes de Regin se mencionan en el catálogo ANT de la NSA bajo los nombres "Straitbizarre" y "Unitedrake". Fox IT no nombró al cliente, pero Der Spiegel mencionó que entre los clientes de Fox IT se encuentra Belgacom y citó al director de Fox IT, Ronald Prins, quien declaró que no se les permite hablar sobre lo que encontraron en la red de Belgacom. [1]
En diciembre de 2014, el periódico alemán Bild informó que se había encontrado Regin en una memoria USB utilizada por un miembro del personal de la canciller Angela Merkel . Los controles de todos los ordenadores portátiles de alta seguridad de la cancillería alemana no revelaron ninguna infección adicional. [21]
Regin fue utilizado en octubre y noviembre de 2018 para hackear la unidad de investigación y desarrollo de Yandex . [22]