Tag Archives: cyberattack

這款先進的惡意軟體，名稱為 Regin；至少自 2008 年起就已經開始用運用在有系統的窺伺活動中，針對許多跨國目標進行窺伺。Regin 屬於後門類型的木馬程式，是一款複雜的惡意軟體，其結構呈現出罕見的技術專業能力。這款惡意軟體藉由依目標而定的眾多功能實現自訂目標，能夠使其操控者得以運用功能強大的架構進行大規模監視，並且已經運用在以政府機關、基礎設施營運商、各級企業、研究機構乃至於平民個人為對象的窺伺行動當中。

這款惡意軟體的開發時間，就算不是耗時數年，也是耗費數個月才完成的；而且作者也花費許多心思隱匿其蹤跡。Regin 的功能及其背後所投注的資源層級，在在顯示，這是一款國家級的重大網路刺探工具。

正如賽門鐵克在新發行的技術白皮書中所言，Backdoor.Regin 是一項分段式威脅，而且除第一階段外，各個階段都經過隱藏並以加密處理。執行第一階段會啟動一連串的解密作業，並載入所有後續階段，一共五個階段。而各別階段皆提供少量有關完整套件的資訊。只有集合全部五個階段，才能分析並瞭解這項威脅。

圖 1.Regin 的五個階段

Regin 也採用模組化方式，載入專為特定目標而設計的自訂功能。這種模組化方式也已經在其他系列的精密惡意軟體系列中發現，例如 Flamer 與 Weevil (即「面具」)，而分段式載入架構，也類似於 Duqu/Stuxnet 系列威脅所呈現的情況。  

時間進程與目標相關資料
在 2008 年至 2011 年之間，我們觀察到 Regin 感染各種組織機構，而在此之後，它卻突然隱匿。而此惡意軟體的新版本，則是自 2013 年起重新出現。攻擊目標包含民營公司、政府機關以及研究機構。將近半數的感染，都是以平民個人與小型企業做為目標。針對電信公司的攻擊，顯然意在取得透過其基礎設施傳送的通話內容。

圖 2.經各部門所確認的 Regin 感染事件

感染事件發生在各個不同的地區，已經獲悉的感染，主要發生於十個不同的國家地區。

圖 2.經各部門所確認的 Regin 感染事件

感染事件發生在各個不同的地區，已經獲悉的感染，主要發生於十個不同的國家地區。

An advanced piece of malware, known as Regin, has been used in systematic spying campaigns against a range of international targets since at least 2008. A back door-type Trojan, Regin is a complex piece of malware whose structure displays a degree of technical competence rarely seen. Customizable with an extensive range of capabilities depending on the target, it provides its controllers with a powerful framework for mass surveillance and has been used in spying operations against government organizations, infrastructure operators, businesses, researchers, and private individuals.

It is likely that its development took months, if not years, to complete and its authors have gone to great lengths to cover its tracks. Its capabilities and the level of resources behind Regin indicate that it is one of the main cyberespionage tools used by a nation state.

As outlined in a new technical whitepaper from Symantec, Backdoor.Regin is a multi-staged threat and each stage is hidden and encrypted, with the exception of the first stage.  Executing the first stage starts a domino chain of decryption and loading of each subsequent stage for a total of five stages.  Each individual stage provides little information on the complete package. Only by acquiring all five stages is it possible to analyze and understand the threat.

Figure 1. Regin’s five stages

Regin also uses a modular approach, allowing it to load custom features tailored to the target. This modular approach has been seen in other sophisticated malware families such as Flamer and Weevil (The Mask), while the multi-stage loading architecture is similar to that seen in the Duqu/Stuxnet family of threats.  

Timeline and target profile

Regin infections have been observed in a variety of organizations between 2008 and 2011, after which  it was abruptly withdrawn. A new version of the malware resurfaced from 2013 onwards. Targets include private companies, government entities and research institutes. Almost half of all infections  targeted private individuals and small businesses. Attacks on telecoms companies appear to be designed to gain access to calls being routed through their infrastructure.

Figure 2. Confirmed Regin infections by sector

Infections are also geographically diverse, having been identified in mainly in ten different countries.

Figure 3. Confirmed Regin Infections by Country

Infection vector and payloads

The infection vector varies among targets and no reproducible vector had been found at the time of writing. Symantec believes that some targets may be tricked into visiting spoofed versions of well-known websites and the threat may be installed through a Web browser or by exploiting an application. On one computer, log files showed that Regin originated from Yahoo! Instant Messenger through an unconfirmed exploit.

Regin uses a modular approach, giving flexibility to the threat operators as they can load custom features tailored to individual targets when required. Some custom payloads are very advanced and exhibit a high degree of expertise in specialist sectors, further evidence of the level of resources available to Regin’s authors.

There are dozens of Regin payloads. The threat’s standard capabilities include several Remote Access Trojan (RAT) features, such as capturing screenshots, taking control of the mouse’s point-and-click functions, stealing passwords, monitoring network traffic, and recovering deleted files. 

More specific and advanced payload modules were also discovered, such as a Microsoft IIS web server traffic monitor and a traffic sniffer of the administration of mobile telephone base station controllers.

Stealth

Regin’s developers put considerable effort into making it highly inconspicuous. Its low key nature means it can potentially be used in espionage campaigns lasting several years. Even when its presence is detected, it is very difficult to ascertain what it is doing. Symantec was only able to analyze the payloads after it decrypted sample files.

It has several “stealth” features. These include anti-forensics capabilities, a custom-built encrypted virtual file system (EVFS), and alternative encryption in the form of a variant of RC5, which isn’t commonly used. Regin uses multiple sophisticated means to covertly communicate with the attacker including via ICMP/ping, embedding commands in HTTP cookies, and custom TCP and UDP protocols.

Conclusions

Regin is a highly-complex threat which has been used in systematic data collection or intelligence gathering campaigns. The development and operation of this malware would have required a significant investment of time and resources, indicating that a nation state is responsible. Its design makes it highly suited for persistent, long term surveillance operations against targets.

The discovery of Regin highlights how significant investments continue to be made into the development of tools for use in intelligence gathering. Symantec believes that many components of Regin remain undiscovered and additional functionality and versions may exist.  Additional analysis continues and Symantec will post any updates on future discoveries

Further reading

Indicators of compromise for security administrators and more detailed and technical information can be found in our technical paper – Regin: Top-tier espionage tool enables stealthy surveillance

Protection Information

Symantec detects this threat as Backdoor.Regin.

Una malware avanzado conocido como Regin, se ha utilizado en campañas de espionaje sistemático contra una serie de objetivos internacionales desde al menos 2008. Regin es una pieza compleja de software malicioso del tipo backdoor cuya estructura muestra un grado de competencia técnica que no es muy común. Permite personalizar una amplia gama de capacidades en función del objetivo, ofrece a sus controladores un marco de gran alcance para la vigilancia de masas y se ha empleado en operaciones de espionaje contra organizaciones gubernamentales, operadores de infraestructura, empresas, investigadores y personas privadas.

Es probable que su desarrollo tomara meses, si no es que años, para ser completado y sus autores han hecho todo lo posible para cubrir sus pistas. Sus capacidades y el nivel de recursos detrás de Regin, indican que es una de las principales herramientas de ciberespionaje utilizadas por un Estado-Nación.

Como se indica en un nuevo informe de Symantec[DOB1] , Backdoor.Regin [DOB2]  es una amenaza de múltiples etapas y cada una está oculta y cifrada, con la excepción de la primera, en la que se inicia una cadena dominó de descifrado y se carga cada etapa posterior, dando un total de cinco etapas. Cada etapa individual proporciona poca información sobre el paquete completo. Sólo mediante la adquisición de las cinco etapas es posible analizar y comprender la amenaza.

Figura 1. Las 5 etapas de Regin

Regin también utiliza un enfoque modular, lo que permite que se carguen o incluyan características personalizadas adaptadas al objetivo. Este enfoque modular se ha visto en otras familias de malware sofisticado tales como Flamer y Weevil (La Máscara), mientras que la arquitectura de carga multi-etapa es similar a la observada en la familia de amenazas Duqu/Stuxnet.

Línea de tiempo y perfil del objetivo

Las infecciones Regin se han observado en una variedad de organizaciones, entre 2008 y 2011, tras lo cual, se retiró abruptamente. Una nueva versión del malware resurgió a partir de 2013. Los objetivos incluyen empresas privadas, entidades gubernamentales e institutos de investigación. Mientras que casi la mitad de todas las infecciones se produjeron en direcciones que pertenecen a los proveedores de servicios de internet (ISPs), los objetivos de estas infecciones eran miembros de esas empresas. Del mismo modo, los ataques a empresas de telecomunicaciones parecen estar diseñados para tener acceso a las llamadas que se enrutan a través de su infraestructura.

Figura 2. Infecciones confirmadas de Regin por sector

Las infecciones son también geográficamente diversas, habiendo sido identificadas en diez países diferentes.

Figura 3. Infecciones confirmadas de Regin por país

Vector de la infección y cargas útiles

El vector de la infección varía entre objetivos y ningún vector reproducible se ha encontrado al momento de la escritura. Symantec cree que algunos objetivos pueden ocultados para visitar versiones falsas de sitios web conocidos y la amenaza puede ser instalada a través del navegador web o mediante la explotación de una aplicación. En una computadora, los archivos de registro mostraron que Regin se originó de Yahoo! Instant Messenger, a través de una secuencia de mandos sin confirmar.

Regin utiliza un enfoque modular, lo que da flexibilidad a los operadores de estas amenazas, ya que pueden cargar características personalizadas adaptadas a cada objetivo individual cuando sea necesario. Algunas cargas útiles personalizadas son muy avanzadas y exhiben un alto grado de conocimientos en sectores especializados, una prueba más del alto grado de recursos de los que disponen los autores de Regin.

Hay docenas de cargas útiles Regin. Las capacidades estándar de la amenaza incluyen varias características de acceso remoto troyano (RAT) tales como: captura de pantalla, control de las funciones del mouse, robo de contraseñas, monitoreo del tráfico de la red y la recuperación de archivos borrados.

Más específicos y avanzados módulos de carga útil también fueron descubiertos, tal es el caso de un monitoreo del tráfico del servidor web Microsoft IIS y un rastreador de tráfico de la administración del control de estaciones base de telefonía móvil.

Precauciones

Los desarrolladores de Regin ponen un considerable esfuerzo para hacerlo altamente discreto. Su carácter discreto significa que potencialmente puede ser utilizado en las campañas de espionaje que duran varios años. Incluso, cuando se detecta su presencia, es muy difícil determinar lo que está haciendo. Symantec sólo fue capaz de analizar las cargas útiles después de descifrar archivos ejemplo.

Tiene varias características “de precaución”. Éstas incluyen capacidades anti-forenses, un sistema virtual hecho a la medida de encriptado de archivos (EVFS) y cifrado alterno en la forma de una variante de RC5, que no se usa comúnmente. Regin utiliza múltiples sofisticados medios para comunicarse secretamente con el atacante, incluso a través de ICMP/ping, la incrustación de comandos en las cookies de HTTP, TCP personalizado y protocolos UDP.

Conclusiones

Regin es una amenaza altamente compleja que se ha utilizado en recolección sistemática de datos o campañas de recopilación de inteligencia. El desarrollo y el funcionamiento de este malware han requerido una importante inversión de tiempo y recursos, lo que indica que detrás es probable que esté un Estado/Nación. Su diseño hace que sea muy adecuado para las operaciones de vigilancia persistentes y de largo plazo contra objetivos.

El descubrimiento de Regin destaca las grandes inversiones que se siguen haciendo en el desarrollo de herramientas para su uso en la recopilación de inteligencia. Symantec cree que muchos de los componentes de Regin permanecen sin ser descubiertos y pueden existir funciones y versiones adicionales. Un análisis adicional continúa y Symantec publicará cualquier actualización de futuros descubrimientos.
 

Otras lecturas

Indicadores para los administradores de seguridad e información técnica y detallada sobre Regin se puede encontrar en nuestro whitepaper – Regin: Top-tier espionage tool enables stealthy surveillance

Información de protección

Symantec detecta esta amenaza como Backdoor.Regin[DOB4] .