Regin (malware)

Regin es un malware sofisticado descubierto por Kaspersky Lab y Symantec , revelado ennoviembre 2014. Activa desde al menos 2008, se dice que se utiliza como plataforma de ciberespionaje contra organizaciones públicas y privadas.

Según The Intercept , sobre la base de la información proporcionada en particular por Edward Snowden , este malware fue creado por la Agencia de Seguridad Nacional (NSA) y su contraparte británica, la Sede de Comunicaciones del Gobierno (GCHQ), y se utilizó para espiar instituciones europeas. . y la empresa de telecomunicaciones Belgacom .

Histórico

La 23 de noviembre de 2014, la empresa Symantec reveló la existencia de Regin que identificó por primera vez en el otoño de 2013. Indica que la plataforma se utilizó por primera vez entre 2008 y 2011, cuando se lanzó el software, que desapareció repentinamente. Una segunda versión, aún activa, reapareció en 2013.

La 24 de noviembre de 2014, la empresa Kasperky también publicó un libro blanco sobre Regin , indicando que lo había identificado por primera vez en la primavera de 2012. Informa que algunos componentes de Regin datan de 2003.

The Intercept , una revista digital estadounidense fundada por el periodista Glenn Greenwald , también publicó una extensa investigación sobre24 de noviembre de 2014sobre el malware Regin .

La 22 de de enero de, el año 2015, la empresa Kasperky publica un análisis de dos módulos de Regin  : "Legspin", una puerta trasera que podría datar de 2002 y "Rayuela", una nueva herramienta utilizada para circular dentro de las redes informáticas objetivo.

Características

Kaspersky describe a Regin como una plataforma para el ciberespionaje, que los atacantes implementan en una red informática para obtener el control total.

Su función principal sería recopilar datos, también podría tomar el control de las computadoras de destino, tomar capturas de pantalla y robar contraseñas.

Arquitectura

Symantec y Kaspersky describen la plataforma de Regin como extremadamente modular, lo que brinda a los atacantes una gran flexibilidad, ya que pueden cargar funciones personalizadas adaptadas a los objetivos de cada operación.

Sus características modulares complicarían su detección y serían similares a otros malware como Flamer o Weevil . Se dice que su arquitectura es similar a la de Stuxnet , un gusano informático descubierto en 2010 y diseñado por la NSA en conjunto con la Unidad de Inteligencia Militar Israelí 8200 (AMAN) para atacar las centrifugadoras de enriquecimiento de uranio de Irán.

Symantec destaca que "es un programa de un nivel de complejidad raramente alcanzado" .

Regin es un malware diseñado con una característica de sigilo , para tener una firma reducida o banal y así ser difícil de detectar, clasificar o identificar:

• El informe de Symantec muestra que solo el "  controlador  " utilizado en la primera de las seis fases de la infiltración contiene código "legible", estando cifrada la siguiente información.
• no almacena varios archivos en el sistema infectado. En su lugar, utiliza su propio sistema de archivos virtual totalmente cifrado. En el sistema host, este sistema de archivos parece un solo archivo oculto con un nombre inocuo;
• el sistema de archivos virtual contiene archivos identificados solo por un código numérico y no por su nombre;
• el sistema de archivos utiliza una variante del algoritmo de cifrado RC5 que no se usa ampliamente;
• Regin se comunica a través de Internet mediante comandos ICMP / ping encapsulados en cookies HTTP y protocolos TCP y UDP específicos.

Los componentes revelados por Kaspersky y Symantec sugieren que Regin está apuntando a los usuarios de Windows .

Vectores de infeccion

Symantec informa que el vector de infección varía entre los objetivos y asume que se infectaron al visitar sitios web falsificados. El malware se instalaría a través de un navegador web o aprovechando una vulnerabilidad de aplicaciones vulnerables.

Asimismo, Kaspersky especifica el final noviembre 2014que el vector de infección sigue siendo un misterio, asumiendo también que los atacantes habrían recurrido a ataques "  man-in-the-middle  " con el uso de una vulnerabilidad de día 0 , es decir, una vulnerabilidad informática que no ha sido publicada o no tiene parche disponible.

Perfiles de destino

Organizaciones

Symantec dice que los operadores de Regin no parecen estar interesados ​​en una industria en particular, ya que se han observado infecciones en una amplia variedad de organizaciones, incluidas empresas privadas, entidades gubernamentales o institutos de investigación.

Kaspersky indica que las organizaciones identificadas como víctimas de Regin son operadores de telecomunicaciones , organizaciones gubernamentales, cuerpos políticos multinacionales, instituciones financieras, organizaciones de investigación e individuos involucrados en investigación y desarrollo en matemáticas o criptología avanzada. Kaspersky indica así que el criptógrafo belga Jean-Jacques Quisquater habría sido víctima de Regin en 2013.

Uno de los módulos de Regin está claramente dirigido a los operadores de telecomunicaciones, ya que permite específicamente espiar lo que están haciendo los administradores de TI en las redes móviles.

Según The Intercept , el malware es la fuente de los ataques informáticos contra Belgacom .

La 26 de noviembre, el diario Le Monde indica que según "una fuente cercana al expediente, que desea permanecer en el anonimato [...] Regin había sido encontrado dentro de las redes de varias instituciones europeas" .

La 28 de noviembre, el diario austriaco Der Standard indica que según varias fuentes anónimas, el malware Regin también fue descubierto en los sistemas informáticos del Organismo Internacional de Energía Atómica (OIEA) con sede en Viena . El diario recuerda que la NSA había espiado a esta agencia internacional, según reveló Der Spiegel enagosto 2013basado en las revelaciones de Edward Snowden .

La 28 de diciembre de 2014, el diario alemán Bild revela que Regin fue descubierto en la memoria USB de un colaborador cercano de la canciller Angela Merkel . Los servicios de seguridad informática de la Cancillería detectaron a Regin , cuando esta empleada, que había finalizado la redacción de un discurso sobre Europa en su casa y había guardado el documento en la memoria USB, luego transfirió su documento a su profesional informático después de regresar a la oficina.

País

Symantec dice que ha identificado a Regin principalmente en Rusia y Arabia Saudita , pero también en México , Irlanda , India , Afganistán , Irán , Bélgica , Austria y Pakistán .

Kaspersky indica por su parte haber identificado veintisiete organizaciones víctimas en catorce países: Afganistán, Argelia , Alemania , Bélgica, Brasil , Fiji , India, Indonesia , Irán, Kiribati , Malasia , Pakistán, Rusia y Siria .

Atribución

Una operación estatal

Según un experto de Symantec, Regin es sin duda, en cuanto a sus características (duración de la operación, motivación, medios económicos necesarios para el desarrollo y despliegue de la infraestructura), un programa apoyado por un Estado. Por lo tanto, habría requerido un equipo "de al menos cuatro especialistas que trabajaron durante aproximadamente un año en su desarrollo" . Según este experto, esta operación habría costado "varios cientos de miles de dólares sin apuntar a objetivos potencialmente lucrativos como las instituciones financieras" . Sin embargo, en su primer informe publicado, Symantec no designa un estado responsable del desarrollo de Regin .

Kasperky Lab tampoco asigna responsabilidad a Regin , pero especifica que es probable que esta operación sea asumida por un estado, debido a su complejidad y costo.

La empresa G Data Software , que dio a conocer un análisis de parte del código de Regin el23 de octubre de 2014durante la conferencia Hack.lu , confirma el origen estatal de este programa malicioso .

Por su parte, la empresa F-Secure concluye su análisis indicando que Regin no proviene de Rusia ni de China .

Fuertes sospechas sobre la participación del GCHQ y la NSA

The Intercept reveló que el malware Regin era parte de una operación conjunta de una década entre la Agencia de Seguridad Nacional y su contraparte del Reino Unido, la Sede de Comunicaciones del Gobierno (GCHQ). El informe de análisis de Intercept se basa en parte en información de Edward Snowden . The Intercept recuerda que el malware GCHQ brindó a los espías británicos la oportunidad de recopilar datos de Belgacom , una empresa que brindaba servicios de telecomunicaciones a varias instituciones europeas:

• la 20 de septiembre de 2013, La revista Der Spiegel reveló que las comunicaciones británicas agencia de control habían estado espiando, desde 2010, por el operador de telefonía belga principal, la estatal Belgacom , cuyos clientes incluyen a la Comisión Europea , el Consejo Europeo y el Parlamento Europeo.  ;
• Bajo el nombre en clave "  Operation Socialist  ", el GCHQ se infiltró en la red informática interna de esta empresa utilizando troyanos con el nombre interno de "Quantum Insert".

Un experto de la empresa holandesa de seguridad informática Fox-IT, que ayudó a Belgacom a erradicar el malware de su red en 2013, dijo que estaba "convencido" de que Regin fue creado por la NSA o el GCHQ. Por otro lado, esta empresa sugiere que los componentes de Regin desvelados hasta la fecha corresponden a los productos denominados UNITEDRAKE y STRAIGHTBIZARRE en el catálogo de la NSA ( NSA ANT catalog  (en) ), cuya existencia y contenido han sido divulgados por la periódico Der Spiegel el29 de diciembre de 2013.

Proteccion

Kaspersky especifica que sus productos detectan módulos de la plataforma Regin con los nombres "Trojan.Win32.Regin.gen" y "Rootkit.Win32.Regin". Los productos Symantec y Norton AntiVirus detectan Regin como "Backdoor.Regin".

Referencias

1. Martin Untersinger , "  El" "virus, un arma de" Regin vigilancia masiva "desarrollado por un Estado  ", Le Monde ,24 de noviembre de 2014( leer en línea )
2. Gilbert Kallenborn y AFP, “  Regin, el sigiloso software espía que espía a todo  ”, 01net ,24 de noviembre de 2014( leer en línea )
3. Marc Zaffagni, "  Regin, un spyware formidable acaba de ser descubierto  " , Futura de alta tecnología , en Futura-Sciences ,24 de noviembre de 2014(consultado el 5 de diciembre de 2014 ) .
4. (en) Morgan Marquis-Boire , Claudio Guarnieri y Ryan Gallagher , "  Secret Malware in European Union Attack Linked to US and British Intelligence  " , The Intercept ,24 de noviembre de 2014( leer en línea )
5. Eric LB , "  Regin, la NSA y GCHQ Super Malware que espió a la Unión Europea  ", 01net ,2 de octubre de 2014( leer en línea )
6. (en) "  Informe de Regin: la herramienta de espionaje de primer nivel permite la vigilancia sigilosa v1.0  " [PDF] , Symantec,23 de noviembre de 2014
7. (en) "  Informe sobre la propiedad de redes GSM v1.0 de la plataforma Regin en el estado-nación  " [PDF] , Kaspersky Lab,24 de noviembre de 2014
8. (in) "  Un análisis de Rayuela y Legspin de Regin  " , Kaspersky Lab,22 de de enero de, el año 2015
9. (in) "  Los analistas detallan la herramienta de espionaje Módulo malicioso de Regin  " Revista SC,23 de enero de 2015
10. Sebastián Seibt, "  Economía - Descubrimiento de Regin, un software espía para hacer todo  " , Francia 24 ,24 de noviembre de 2014(consultado el 25 de noviembre de 2014 )
11. Marc Rees, "  Regin, un malware modular especializado en la recopilación de datos  ", Next INpact ,24 de noviembre de 2014( leer en línea )
12. (en) David E. Sanger , "  Obama ordenó una ola de ciberataques contra Irán  " , New York Times ,1 st de junio de 2012( leer en línea )
13. (en) James Bamford , "La  búsqueda de la NSA fue solo el comienzo. Conozca al jefe de espías que nos lleva a la guerra cibernética  ” , Wired ,6 de diciembre de 2013( leer en línea )
14. (en) Jon Fingas, "  El malware sofisticado ha sido-espionaje es computadoras desde 2008 (actualizado)  " , Engadget ,24 de noviembre de 2014( leer en línea )
15. (nl) "  Amerikanen hacken nu ook Belgische prof  " , Het Nieuwsblad ,1 st de febrero de 2014( leer en línea )
16. (nl) "  NSA hackt Belgische cyberprof  " , De Standaard ,1 st de febrero de 2014( leer en línea )
17. "  Genio belga del cifrado espiado por la NSA  ", Le Vif / L'Express ,1 st de febrero de 2014( leer en línea )
18. (in) "  Regin, una plataforma maliciosa capaz de espiar redes GSM  " , Kaspersky Lab ,2 de octubre de 2014(consultado el 25 de noviembre de 2014 )
19. EB, "  Se ha identificado el software espía que hackeó Belgacom  ", Le Soir ,24 de noviembre de 2014( leer en línea )
20. Martin Untersinger , "  ¿Se espías estadounidenses Inglés y Crear el Virus de la Regin?"  ", Le Monde ,26 de noviembre de 2014( leer en línea )
21. (de) Fabian Schmid y Markus Sulzbacher , "  Spionagesoftware" Regin "nahm Atomenergiebehörde ins Visier  " , Der Standard ,28 de noviembre de 2014( leer en línea )
22. (in) "  Codename 'Apalachee': Codename 'Apalachee': How America Spies on Europe and the UN  " ,25 de agosto de 2013
23. Damien Leloup, "  La NSA también espió a las Naciones Unidas  " ,25 de agosto de 2013
24. (de) “  Spionage-Virus im Kanzleramt! Es startedn mit einem USB-Stick…  ” , Bild,28 de diciembre de 2014
25. "  Cancillería alemana atacada por virus informático estadounidense  " , RTS.ch,28 de diciembre de 2014
26. (en) Ellen Nakashima , "  Se encontró un nuevo software espía de Regin, probablemente creado por un gobierno  " , The Washington Post ,24 de noviembre de 2014( leer en línea )
27. Marc Rees , "  Regin, un malware modular especializado en la recopilación de datos  ", Next INpact ,24 de noviembre de 2014( leer en línea )
28. (in) Presentación D & D de malware con la exótica empresa de C & C G Data Sowftare , Conference Hack.lu Paul Rascagneres y Eric Leblond, 23 de octubre de 2014 [PDF]
29. (in) The Regin Espionage Toolkit , F-Secure , 23 de noviembre de 2014
30. (en) Nicole Perlroth , "  Symantec descubre el código espía 'Regin' al acecho en las redes informáticas  " , The New York Times ,24 de noviembre de 2014( leer en línea )
31. (en) "  Belgacom Attack: GCHQ de Gran Bretaña hackeó la empresa belga de telecomunicaciones  " , Der Spiegel ,20 de septiembre de 2013
32. (in) "  Ataque cibernético: belgas enojados por el espionaje británico  " , Der Spiegel ,20 de septiembre de 2013
33. Reuters, "  Reino Unido espió a la empresa belga Belgacom  " , Les Échos ,20 de septiembre de 2013
34. (de) Cristiano Stöcker y Marcel Rosenbach , "  Trojaner Regin ist ein Werkzeug und von NSA GCHQ - Spiegel Online  " , Der Spiegel ,25 de noviembre de 2014( leer en línea )
35. (en) Kim Zetter , "  Los investigadores herramienta espía Gobierno Destape utiliza para Hack Telecomunicaciones e criptógrafo belga  " , Wired Magazine ,24 de noviembre de 2014( leer en línea )
36. (en) Jacob Appelbaum , Judith Horchert y Christian Stöcker , "El  catálogo revela que la NSA tiene puertas traseras para numerosos dispositivos - SPIEGEL ONLINE  " , Der Spiegel ,29 de diciembre de 2013( leer en línea )

Apéndices

Artículos relacionados

• Fuga de información
• Vulnerabilidad (TI)
• Software espía
• Software malicioso
• Software similar: Flame , Stuxnet

enlaces externos

• (es) "  Regin: la herramienta de espionaje de primer nivel permite una vigilancia sigilosa  " [PDF] ,24 de noviembre de 2014 - Informe de Symantec
• (en) "  La plataforma REGIN, propiedad estatal de redes GSM  " [PDF] ,24 de noviembre de 2014 - Informe de Kaspersky Lab
• (en) Morgan Marquis-Boire , Claudio Guarnieri y Ryan Gallagher , "  Secret Malware in European Union Attack Linked to US and British Intelligence  " , The Intercept ,24 de noviembre de 2014( leer en línea )
• (en) Kim Zetter , "Los  investigadores descubren la herramienta espía del gobierno utilizada para piratear las telecomunicaciones y el criptógrafo belga  " , Wired Magazine ,24 de noviembre de 2014( leer en línea )
• (de) Christian Stöcker y Marcel Rosenbach , "  Trojaner Regin ist ein Werkzeug von NSA und GCHQ - SPIEGEL ONLINE  " , Der Spiegel ,25 de noviembre de 2014( leer en línea )