Backdoor Regin: ¿Sofisticado y patrocinado por algún estado?


Los investigadores de Symantec han advertido acerca de una nueva y compleja herramienta de espionaje cibernético que ha existido por años y que probablemente ha sido creado y es ejercido por un Estado-nación.

Apodado Regin, el malware se ha utilizado por lo menos desde el 2008 para montar operaciones de espionaje contra organizaciones gubernamentales, operadores de infraestructuras, empresas del sector privado y también contra investigadores particulares.

De hecho, casi el 50 por ciento de todos los objetivos identificados son particulares y pequeñas empresas, seguidas de las telecomunicaciones (28 por ciento), empresas y organizaciones de salud y negocios energeticos, compañías aéreas, y de investigación. Otra cosa que viene un poco de sorpresa es el hecho de que el malware ha sido dirigido principalmente a personas y organizaciones de la Federación de Rusia, Arabia Saudita, Irlanda y México:


Investigadores de F-Secure señalaron , "este malware, para variar, no viene de Rusia o China."

Regin ha sido comparado con Stuxnet , Flame, Duqu y Turla (Serpiente) - todo estos malware altamente complejos son utilizados en ataques sofisticados que se cree que son patrocinados por un estado.

"El Backdoor.Regin es una amenaza de múltiples etapas y en cada uno de ellos está oculto y cifrado, a excepción de la primera etapa. La ejecución de la primera etapa se inicia en una cadena de dominó de descifrado y en la carga de cada etapa posterior para un total de cinco etapas", explicaron los investigadores de Symantec.

"Cada etapa individual proporciona poca información sobre el paquete completo. Sólo mediante el cumplimiento de todas las cinco etapas es posible analizar y comprender la amenaza."

El malware es modular, por lo tanto personalizable.

"Hay docenas de cargas útiles en Regin. Las capacidades estándar de la amenaza incluyen varias características (RAT) de acceso remoto troyanizado, como la captura de pantallas, tomando el control de las funciones de apuntar y hacer clic del ratón, el robo de contraseñas, el monitoreo del tráfico de red, y la recuperación de archivos borrados ". "Módulos de carga más específicos y avanzados también fueron descubiertos, como un monitor de tráfico Microsoft IIS web server y un rastreador de tráfico de la administración de controladores de estación base en telefonía móvil."


A pesar de que los investigadores consiguieron dos variantes diferentes del backdoor - que se utilizó entre 2008 y 2011, y otro a partir del 2013 - aún no saben qué vectores de infección se han utilizado. Es probable que el malware ha sido cargado a través de versiones falsificadas de sitios web o en la explotación de vulnerabilidades de aplicaciones conocidas.

"En una computadora, los archivos de registro mostraron que Regin se originó desde Yahoo! Instant Messenger a través de un exploit aún sin confirmar", señalaron.

Con todo, los investigadores creen que el desarrollo del software malicioso tomó meses, y que su complejidad, eficacia y grandes características de sigilo son una prueba de que su naturaleza como herramienta de espionaje ha sido desarrollado y respaldados por un Estado- Nación.

Symantec ha dedicado un artículo a la amenaza de que, entre otras cosas, también incluye indicadores de compromiso que será muy útil para los administradores de seguridad para conocer si sus sistemas y redes han sido vulneradas y comprometidas.

Los investigadores de Kaspersky Lab también han compartido sus hallazgos relacionados con el malware.

"Es casi seguro que Regin se ha utilizado para la recolección de datos a gran escala. Ya que ha tenido a disposición una gran cantidad de recursos en su creación y muy probablemente tendrá muchas variantes que serán puesto en libertad o que están ya en estado slavaje", Mark James, especialista en seguridad de ESET, comentó .

"Seríamos ingenuos pensar que no hay otras piezas complejas muy similares a este malware que aún no se detecta, tranquilamente estarán recopilando datos del hardware y lo enviaran de vuelta a servicios de inteligencia o a medios maliciosos".

Fuente: net-security