stringtranslate.com

Regin (malware)

Regin (también conocido como Prax o QWERTY ) es un sofisticado malware y kit de herramientas de piratería utilizado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su contraparte británica, el Cuartel General de Comunicaciones del Gobierno (GCHQ). [1] [2] [3] Fue revelado públicamente por primera vez por Kaspersky Lab , Symantec y The Intercept en noviembre de 2014. [4] [5] El malware se dirige a usuarios específicos de computadoras basadas en Microsoft Windows y se ha vinculado a la agencia de recopilación de inteligencia estadounidense NSA y su contraparte británica, el GCHQ . [6] [7] [8] The Intercept proporcionó muestras de Regin para descargar, incluido malware descubierto en un proveedor de telecomunicaciones belga, Belgacom . [5] Kaspersky Lab afirma que se dio cuenta por primera vez de Regin en la primavera de 2012, pero algunas de las primeras muestras datan de 2003. [9] (El nombre Regin se encontró por primera vez en el sitio web de VirusTotal el 9 de marzo de 2011. [5] ) Entre las computadoras infectadas en todo el mundo por Regin, el 28 por ciento estaban en Rusia , el 24 por ciento en Arabia Saudita , el 9 por ciento en México e Irlanda , y el 5 por ciento en India , Afganistán , Irán , Bélgica , Austria y Pakistán . [10]

Kaspersky ha afirmado que las principales víctimas del malware son particulares, pequeñas empresas y compañías de telecomunicaciones . Regin ha sido comparado con Stuxnet y se cree que ha sido desarrollado por "equipos de desarrolladores con muchos recursos", posiblemente un gobierno occidental , como una herramienta de recopilación de datos multipropósito. [11] [12] [13]

Según Die Welt , los expertos en seguridad de Microsoft le dieron el nombre de "Regin" en 2011, en honor al astuto enano nórdico Regin . [14]

Operación

Regin utiliza un enfoque modular que le permite cargar funciones que se adaptan exactamente al objetivo, lo que permite un espionaje personalizado. El diseño lo hace muy adecuado para operaciones de vigilancia masiva persistentes y a largo plazo contra objetivos. [15] [16]

Regin es sigiloso y no almacena múltiples archivos en el sistema infectado; en su lugar, utiliza su propio sistema de archivos virtuales cifrados (EVFS) contenido completamente dentro de lo que parece un solo archivo con un nombre inocuo para el host, dentro del cual los archivos se identifican solo por un código numérico, no un nombre. El EVFS emplea una variante de cifrado del raramente utilizado RC5 . [16] Regin se comunica a través de Internet utilizando ICMP / ping , comandos integrados en cookies HTTP y protocolos TCP y UDP personalizados con un servidor de comando y control que puede controlar operaciones, cargar cargas útiles adicionales , etc. [10] [12]

Identificación y denominación

Symantec afirma que tanto ellos como Kaspersky identificaron el malware como Backdoor.Regin . [10] La mayoría de los programas antivirus, incluido Kaspersky, (a fecha de octubre de 2015) NO identifican la muestra de Regin lanzada por The Intercept como malware. [17] El 9 de marzo de 2011, Microsoft agregó entradas relacionadas a su Enciclopedia de malware; [18] [19] más tarde se agregaron dos variantes más, Regin.B y Regin.C . Microsoft parece llamar a las variantes de 64 bits de Regin Prax.A y Prax.B. Las entradas de Microsoft no tienen ninguna información técnica. [5] Tanto Kaspersky como Symantec han publicado documentos técnicos con información que obtuvieron sobre el malware. [12] [13]

Ataques conocidos y originadores del malware

La revista de noticias alemana Der Spiegel informó en junio de 2013 que la Agencia de Seguridad Nacional (NSA) de inteligencia estadounidense había llevado a cabo vigilancia en línea tanto de ciudadanos de la Unión Europea (UE) como de instituciones de la UE. La información se deriva de documentos secretos obtenidos por el ex trabajador de la NSA Edward Snowden . Tanto Der Spiegel como The Intercept citan un documento secreto de la NSA de 2010 que afirma que realizó ciberataques ese año, sin especificar el malware utilizado, contra las representaciones diplomáticas de la UE en Washington, DC y sus representaciones ante las Naciones Unidas . [5] [20] Los investigadores encontraron señales que identificaban el software utilizado como Regin en las máquinas infectadas.

The Intercept informó que, en 2013, el GCHQ del Reino Unido atacó a Belgacom , la empresa de telecomunicaciones más grande de Bélgica. [5] Estos ataques pueden haber llevado a que Regin llamara la atención de las empresas de seguridad. Basándose en el análisis realizado por la empresa de seguridad informática Fox IT, Der Spiegel informó en noviembre de 2014 que Regin es una herramienta de las agencias de inteligencia del Reino Unido y los Estados Unidos. Fox IT encontró a Regin en las computadoras de uno de sus clientes y, según su análisis, partes de Regin se mencionan en el catálogo ANT de la NSA bajo los nombres "Straitbizarre" y "Unitedrake". Fox IT no nombró al cliente, pero Der Spiegel mencionó que entre los clientes de Fox IT se encuentra Belgacom y citó al director de Fox IT, Ronald Prins, quien declaró que no se les permite hablar sobre lo que encontraron en la red de Belgacom. [1]

En diciembre de 2014, el periódico alemán Bild informó que se había encontrado Regin en una memoria USB utilizada por un miembro del personal de la canciller Angela Merkel . Los controles de todos los ordenadores portátiles de alta seguridad de la cancillería alemana no revelaron ninguna infección adicional. [21]

Regin fue utilizado en octubre y noviembre de 2018 para hackear la unidad de investigación y desarrollo de Yandex . [22]

Véase también

Referencias

  1. ^ ab Christian Stöcker, Marcel Rosenbach "Software de espionaje: Supertroyano Regin ist eine NSA-Geheimwaffe" Der Spiegel, 25 de noviembre de 2014
  2. ^ "Expertos desenmascaran al troyano 'Regin' como herramienta de la NSA". Spiegel.de . Consultado el 9 de noviembre de 2021 .
  3. ^ Zetter, Kim. "Investigadores descubren una herramienta de espionaje del gobierno utilizada para piratear telecomunicaciones y un criptógrafo belga". Wired . ISSN  1059-1028 . Consultado el 22 de febrero de 2022 .
  4. ^ "Regin Revealed". Kaspersky Lab. 24 de noviembre de 2014. Consultado el 24 de noviembre de 2014 .
  5. ^ abcdef Marquis-Boire, Morgan; Guarnieri, Claudio; Gallagher, Ryan (24 de noviembre de 2014). "Malware secreto en ataque a la Unión Europea vinculado a la inteligencia estadounidense y británica". The Intercept.
  6. ^ "Un alto funcionario alemán fue infectado por un troyano espía muy avanzado vinculado a la NSA". 26 de octubre de 2015.
  7. ^ Perlroth, Nicole (24 de noviembre de 2014). «Symantec descubre el código espía «Regin» que acecha en las redes informáticas». New York Times . Consultado el 25 de noviembre de 2014 .
  8. ^ Gallagher, Ryan (13 de diciembre de 2014). "La historia interna de cómo los espías británicos hackearon la mayor empresa de telecomunicaciones de Bélgica". The Intercept.
  9. ^ Kaspersky:Regin: una plataforma maliciosa capaz de espiar redes GSM, 24 de noviembre de 2014
  10. ^ abc "Regin: una herramienta de espionaje de primer nivel permite una vigilancia furtiva". Symantec. 23 de noviembre de 2014. Consultado el 25 de noviembre de 2014 .
  11. ^ "BBC News - Regin, un nuevo fallo de espionaje informático descubierto por Symantec". BBC News . 23 de noviembre de 2014 . Consultado el 23 de noviembre de 2014 .
  12. ^ abc "Regin White Paper" (PDF) . Symantec. Archivado desde el original (PDF) el 7 de septiembre de 2019 . Consultado el 23 de noviembre de 2014 .
  13. ^ ab "Regin White Paper" (PDF) . Kaspersky Lab . Consultado el 24 de noviembre de 2014 .
  14. ^ Benedikt Fuest (24 de noviembre de 2014). "Ein Computervirus, so mächtig wie keines zuvor". Die Welt . Archivado desde el original el 28 de noviembre de 2014.
  15. ^ "Regin Malware - Herramienta de espionaje 'patrocinada por el Estado' dirigida a los gobiernos". The Hacking Post - Últimas noticias sobre piratería y actualizaciones de seguridad . Archivado desde el original el 18 de febrero de 2017. Consultado el 24 de noviembre de 2014 .
  16. ^ ab "¿NSA, GCHQ o ambos están detrás del malware Regin similar a Stuxnet?". scmagazineuk.com. 24 de noviembre de 2014. Consultado el 25 de noviembre de 2014 .
  17. ^ Virustotal: Ratio de detección: 21 / 56
  18. ^ Centro de protección contra malware de Microsoft, haga clic en el botón "Enciclopedia de malware"
  19. ^ Centro de protección de Microsoft: Trojan:WinNT/Regin.A
  20. ^ Poitras, Laura; Rosenbach, Marcel; Schmid, Fidelius; Stark, Holger (29 de junio de 2013). "Ataques desde Estados Unidos: la NSA espió las oficinas de la Unión Europea". Der Spiegel.
  21. ^ "El gobierno alemán niega haber sido víctima de un ciberataque". Deutsche Welle . 29 de diciembre de 2014.
  22. ^ "Los servicios de inteligencia occidentales hackearon el 'Google ruso' Yandex para espiar cuentas". Reuters. 27 de junio de 2019. Archivado desde el original el 29 de junio de 2019.