Regin (malware)

Regin es un sofisticado malware revelado por Kaspersky Lab^[1]​ y Symantec en noviembre de 2014 cuyos blancos son usuarios específicos de computadoras basadas en Microsoft Windows.^[2]​ Kaspersky Lab dijo que estuvo alerta de Regin desde la primavera de 2012, pero que algunas de las primeras pistas datan del 2003.^[3]​ El nombre Regin se encuentra por primera vez en el website VirusTotal el 9 de marzo de 2011.^[4]​ De las computadoras infectadas por Regin, 28 % están en Rusia, 24 % en Arabia Saudita, 9 % tanto en México como en Irlanda, y 5 % en India, Afganistán, Irán, Bélgica, Austria y Pakistán.^[5]​ Kaspersky Lab fue incapaz de determinar la ruta de ataque y dijo que las víctimas principales son individuos privados, pequeños negocios y compañías de telecomunicaciones. Regin ha sido comparado con Stuxnet y se piensa que fue desarrollado por «equipos de programadores bien financiados», posiblemente un gobierno occidental, como una herramienta dirigida de propósito múltiple para recolección de datos.^[6]​^[7]​^[8]​

Operación

Regin emplea un enfoque modular que le permite cargar características que encajen perfectamente a su objetivo, permitiendo espionaje a medida. Su diseño lo hace altamente adecuado para operaciones persistentes de vigilancia masiva a largo plazo contra sus blancos.^[9]​^[10]​

Regin es sigiloso y no almacena datos en el sistema de archivos de la computadora infectada; en cambio tiene su propio Sistema de Archivos Virtual Encriptado (EVFS) que aparece como un único archivo para el anfitrión, dentro del cual los archivos son identificados por código numérico y no por nombre. El EVFS emplea una variante de encriptación del, rara vez usado, cifrado RC5.^[10]​ Regin se comunica por Internet, usando ICMP/ping, comandos incrustados en HTTP cookies y protocolos personalizados TCP y UDP, con un servidor de comando y control el cual puede controlar operaciones, cargar datos adicionales, etc.^[5]​^[7]​

Identificación y nombrado

Symantec declaró que tanto ellos como Kaspersky identificaron el malware como Backdoor.Regin.^[11]​ El 9 de marzo de 2011 Microsoft agregó a su Malware Encyclopedia artículos relacionados.^[12]​^[13]​ Más tarde fueron agregadas dos nuevas variantes, Regin.B y Regin.C. Microsoft nombra Prax.A y Prax.B a las variantes de 64 bits de Regin. Los artículos de Microsoft no incluyen ninguna información técnica.^[4]​ Tanto Kaspersky como Symantec publicaron white papers con la información que tienen disponible sobre el malware.^[8]​^[7]​

Ataques conocidos y origen del malware

La revista alemana de noticias Der Spiegel reportó en junio de 2013 que la Agencia de Seguridad Nacional (NSA) de Estados Unidos ha mantenido vigilancia en línea tanto de ciudadanos de la Unión Europea como de instituciones estadounidenses. La información se desprende de documentos secretos obtenidos por el extrabajador de la NSA, Edward Snowden. De acuerdo a un documento secreto de 2010, también fueron atacadas las representaciones diplomáticas en Washington y las Naciones Unidas.^[14]​ El ataque sobre las redes estadounidenses tuvo lugar en los meses anteriores al descubrimiento de Regin.

The Intercept dijo que fuentes de industria de la seguridad, quienes proporcionaron muestras de código de sus investigaciones de los atentados, y sus propios análisis técnicos sugieren que Regin fue la tecnología detrás de los ciberataques conducidos en 2010 por la NSA contra las oficinas de la Unión Europea en Washington D. C. y del Cuartel General de Comunicaciones del Gobierno del Reino Unido en 2013 en contra de Belgacom, la compañía de telecomunicaciones más grande de Bélgica.^[4]​ Estos atentados pueden haber guiado la atención de las compañías de seguridad hacia Regin.

Referencias

1. «Regin Revealed». Kaspersky Lab. Consultado el 24 de noviembre de 2014. 
2. Perlroth, Nicole (24 de noviembre de 2014). «Symantec Discovers ‘Regin’ Spy Code Lurking on Computer Networks». New York Times. Consultado el 25 de noviembre de 2014. 
3. Kaspersky:Regin: a malicious platform capable of spying on GSM networks Archivado el 30 de mayo de 2015 en Wayback Machine., 24 de noviembre de 2014
4. Marquis-Boire, Morgan; Guarnieri, Claudio; Gallagher, Ryan (24 de noviembre de 2014). «Secret Malware in European Union Attack Linked to U.S. and British Intelligence"». The Intercept. 
5. «Regin: Top-tier espionage tool enables stealthy surveillance». Symantec. 23 de noviembre de 2014. Consultado el 25 de noviembre de 2014. 
6. «BBC News - Regin, new computer spying bug, discovered by Symantec». bbc.com. Consultado el 23 de noviembre de 2014. 
7. «Regin White Paper». Symantec. Archivado desde el original el 7 de septiembre de 2019. Consultado el 23 de noviembre de 2014. 
8. «Regin White Paper». Kaspersky Lab. Archivado desde el original el 27 de noviembre de 2014. Consultado el 24 de noviembre de 2014. 
9. «Regin Malware - 'State-Sponsored' Spying Tool Targeted Govts». The Hacking Post - Latest hacking News & Security Updates. Archivado desde el original el 18 de febrero de 2017. Consultado el 26 de noviembre de 2014. 
10. «NSA, GCHQ or both behind Stuxnet-like Regin malware?». scmagazineuk.com. 24 de noviembre de 2014. Archivado desde el original el 16 de junio de 2016. Consultado el 25 de noviembre de 2014. 
11. Symantec: Security Response - 23 noviembre 2014Regin: Top-tier espionage tool enables stealthy surveillance,
12. Microsoft Malware Protection Center, click button "Malware Encyclopedia
13. Microsoft Protection Center: Trojan:WinNT/Regin.A
14. Attacks from America: NSA Spied on European Union Offices, Laura Poitras, Marcel Rosenbach, Fidelius Schmid and Holger Stark, Der Spiegel, 29 June 2013

Enlaces externos

• Mysteries of the malware Regin. (en inglés)
• Esta obra contiene una traducción total derivada de «Regin (malware)» de Wikipedia en inglés, concretamente de esta versión del 25 de noviembre de 2014, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.