Regin: ????????????????????
シマンテックの調査で、Regin スパイツールのモジュールが新たに発見され、それを支える高度なインフラストラクチャも明らかになってきました。
Read More
シマンテックの調査で、Regin スパイツールのモジュールが新たに発見され、それを支える高度なインフラストラクチャも明らかになってきました。
Read More
Symantec’s investigation uncovers additional modules for the Regin spying tool and finds advanced infrastructure supporting it.
Read More
summary
Regin と呼ばれるこの高度なマルウェアは、少なくとも 2008 年以降、世界のさまざまな標的に対する組織的なスパイ活動に利用されています。Regin はバックドア型のトロイの木馬であり、その構造から類を見ない技術力が伺える複雑なマルウェアです。標的に応じてさまざまな機能をカスタマイズできるため、攻撃者にとって大規模な監視活動を行うための強力なフレームワークであり、政府機関、インフラ運営組織、企業、研究者、個人を狙ったスパイ活動に利用されています。
開発には年単位、または少なくとも月単位の期間を要したと考えられ、その痕跡を隠すために開発者は努力を惜しまなかったようです。その機能や豊富なリソースから、Regin は国家によって使用されている主要なサイバースパイツールの 1 つだと思われます。
Backdoor.Regin はホワイトペーパー(英語)で説明されているように、多段階型の脅威であり、第 1 段階を除いて、各段階は隠蔽されて暗号化されています。第 1 段階が実行されると、全部で 5 段階からなる後続の段階が順に復号されてロードされる仕組みです。個々の段階からは、パッケージの全体に関する情報はほとんど得られません。5 つの段階のすべてを入手して初めて、この脅威の分析と理解が可能になるのです。
図 1. Regin の 5 つの段階
また、Regin はモジュール型の手法を採用しているため、標的に応じて用意されたカスタム機能をロードすることができます。この手法は、Flamer や Weevil(The Mask)といった高度なマルウェアファミリーでも見られるものです。また、多段階にロードされる構造は、Duqu や Stuxnet で採用されているものに類似しています。
活動の時系列と標的のプロファイル
Regin の感染は 2008 年から 2011 年にかけて、さまざまな組織で確認されていましたが、その後、突然活動を休止しています。2013 年になって、マルウェアの新しいバージョンによる活動が再開されました。標的には、民間企業、政府機関、研究機関が含まれます。感染のほぼ半数は、個人や小規模企業を標的とするものです。通信会社に対する攻撃は、各社のインフラを経由する通話にアクセスすることを狙ったものだと思われます。
図 2. Regin の感染件数の業種別内訳
感染は地理的にも分散していて、主に 10 カ国で確認されています。
図 3. Regin の感染件数の国別内訳
感染経路とペイロード
感染経路は標的によって異なり、このブログの執筆時点で、再現可能な経路は確認されていません。一部の標的は、有名な Web サイトに偽装したサイトにアクセスするように仕向けられた後に、Web ブラウザを介して、またはアプリケーションを悪用されて、この脅威がインストールされたと考えられます。あるコンピュータのログファイルには、未確認の悪用コードによって Yahoo! Instant Messenger から Regin が侵入した痕跡が記録されていました。
Regin はモジュール型の手法を採用しているため、攻撃者は、必要に応じて個々の標的に合わせたカスタム機能をロードすることが可能です。一部のカスタムペイロードは非常に高度な機能を備え、特定分野における高い技術力を示していることから、開発者が高水準のリソースを抱えていることを重ねて証明しています。
Regin には、数十種類ものペイロードが存在し、リモートアクセス型のトロイの木馬(RAT)のさまざまな機能を標準で装備しています。たとえば、スクリーンショットの撮影、マウスのポイントアンドクリック操作の制御、パスワードの窃取、ネットワークトラフィックの監視、削除済みファイルの復元などの機能です。
Microsoft IIS Web サーバーのトラフィックを監視したり、携帯電話の基地局コントローラの管理トラフィックを盗聴したりするなど、さらに特化された高度なペイロードモジュールも確認されています。
ステルス性
Regin の開発者は、この脅威が人目に付かずに活動できるように相当な労力を費やしています。目立たないということは、何年間にもわたる持続的なスパイ活動に利用できるということです。存在が検出されたとしても、どのような活動を実行しているかを確認するのは非常に難しく、今回も、ペイロードがサンプルファイルを復号してようやく、ペイロードを分析することができました。
「ステルス」機能として備えられているのは、フォレンジック対策機能、カスタム開発された暗号化仮想ファイルシステム(EVFS)、RC5 の亜種という通常使われているものとは別の暗号化方式などです。また、攻撃者と秘密裏に通信するために、ICMP の ping、HTTP cookies に埋め込まれたコマンド、カスタムの TCP プロトコルと UDP プロトコルなど、複数の高度な手法を使用しています。
まとめ
Regin は非常に複雑な脅威であり、組織的なデータ収集活動や情報収集活動に利用されています。開発と運用には膨大な時間とリソースを投資する必要があることから、背後に国家が存在すると考えられるでしょう。標的に対して、長期間にわたり執拗に監視活動を実行するうえで非常に適した設計になっています。
Regin が発見されたことで、情報収集活動に利用するツールを開発するために、膨大な投資が継続的に実行されていることが明らかになりました。Regin には、まだ見つかっていないコンポーネントが多数あり、その他の機能や別のバージョンが存在する可能性があります。シマンテックは今後も分析活動を継続し、新しい発見があり次第、情報を提供する予定です。
追加情報
侵害の兆候や、さらに詳しい技術情報については、ホワイトペーパー『Regin: Top-tier espionage tool enables stealthy surveillance(Regin: 人目に付かずに監視活動が可能な最悪のスパイツール)』(英語)を参照してください。
保護対策
シマンテック製品およびノートン製品は、この脅威を Backdoor.Regin として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
summary
Um malware avançado conhecido como Regin foi utilizado em campanhas sistemáticas de espionagem contra uma variedade de alvos internacionais desde, pelo menos, 2008. Considerado um Cavalo de Tróia do tipo Backdoor, o Regin é um malware complexo, cuja estrutura exibe um grau de competência técnica raramente encontrado. Customizável através de uma ampla gama de capacidades, dependendo do alvo, ele oferece aos controladores um framework poderoso para vigilância em massa, e foi utilizado em operações de espionagem contra organizações governamentais, operadores de infraestrutura, empresas, pesquisadores e indivíduos.
É provável que seu desenvolvimento tenha consumido meses, ou até mesmo anos, até ser concluído, e seus autores se empenharam em apagar seus rastros. Suas capacidades e o nível dos recursos por trás do Regin indicam que ela é uma das principais ferramentas de ciberespionagem utilizadas por um Estado-nação.
Conforme destacado em um novo relatório técnico da Symantec, o Backdoor.Regin é uma ameaça de múltiplos estágios, e cada um deles está escondido e criptografado, com exceção do primeiro. A execução do primeiro nível inicia uma cadeia em dominó de decodificação e carregamento de cada estágio subsequente, em um total de cinco. E assim eles fornecem poucas informações sobre o pacote completo. Somente ao obter todos os cinco estágios é possível analisar e entender a ameaça.
Figura 1. Os cinco estágios do Regin
O Regin também utiliza uma abordagem modular, permitindo que carregue recursos customizados sob medida para o alvo. Esta abordagem modular foi vista em outros grupos sofisticados de malware, como Flamer e Weevil (The Mask), enquanto a arquitetura de carregamento em múltiplos estágios é semelhante à vista na família de ameaças Duqu/Stuxnet.
Linha do tempo e perfil do alvo
Infecções por Regin foram observadas em uma variedade de organizações entre 2008 e 2011, quando ele foi repentinamente recolhido. Uma nova versão do malware reapareceu em 2013. Entre os alvos estão empresas privadas, órgãos governamentais e institutos de pesquisa. E quase metade de todas as infecções foi dirigida a indivíduos e pequenas empresas. Ataques contra empresas de telecomunicações parecem projetados para obter acesso a ligações direcionadas ao longo de sua infraestrutura.
Figura 2. Infecções confirmadas por Regin por setor
As infecções também foram geograficamente variadas, tendo sido identificadas principalmente em dez países diferentes
Figura 3. Infecções confirmadas por Regin por país
Vetor de infecção e payloads
O vetor de infecção varia e nenhum vetor reprodutível foi encontrado até o momento. A Symantec acredita que alguns alvos podem ser enganados e levados a visitar versões falsas de sites conhecidos, além de a ameaça poder ser instalada através de um navegador ou pela exploração de uma aplicação. Em um computador, os arquivos de registro mostraram que o Regin foi originado no Yahoo! Instant Messenger através de uma exploração não-confirmada.
A ameaça utiliza uma abordagem modular, dando flexibilidade aos operadores, que podem carregar recursos customizados sob medida para alvos individuais, conforme necessário. Alguns payloads customizados são muito avançados e apresentam um alto grau de conhecimento em setores especializados, indicação maior do nível de recursos disponíveis aos autores do Regin.
Há dezenas de payloads do Regin. As capacidades padrão da ameaça incluem diversos recursos de Trojan de Acesso Remoto (RAT), como captura de imagens de tela, tomada de controle das funções de apontar e clicar do mouse, roubo de senhas, monitoramento do tráfego da rede e recuperação de arquivos apagados.
Módulos de payload mais específicos e avançados também foram descobertos, como um monitor de tráfego do servidor de web Microsoft IIS e um sniffer de tráfego da administração de controladores de estações base de telefonia móvel.
Furtivo
Os desenvolvedores do Regin empenharam esforços consideráveis para torná-lo extremamente discreto. Sua natureza discreta significa que pode potencialmente ser empregado em campanhas de espionagem com diversos anos de duração. Mesmo quando sua presença é detectada, é muito difícil determinar o que estava fazendo. A Symantec só foi capaz de analisar os payloads depois de decodificar arquivos de amostra.
Ele tem vários recursos “furtivos”. Entre eles, capacidades anti-forenses, um sistema de arquivo virtual criptografado sob medida (EVFS), e criptografia alternativa na forma de uma variação do RC5, que não é comumente usada. A ameaça usa diversas formas sofisticadas para se comunicar secretamente com o atacante, inclusive através de ICMP/ping, integrando comandos em cookies HTTP, e protocolos TCP e UDP customizados.
Conclusões
O Regin é uma ameaça extremamente complexa que foi utilizada em campanhas de coleta sistemática de dados e de inteligência. O desenvolvimento e a operação deste malware devem ter exigido investimentos significativos de tempo e recursos, indicando que um Estado-nação seja o responsável pelo malware. Seu design o torna perfeito para operações de vigilância persistentes, de longo prazo, contra os alvos.
A descoberta do Regin destaca como investimentos significativos continuam sendo feitos para o desenvolvimento de ferramentas para uso na coleta de inteligência. A Symantec acredita que muitos componentes da ameaça continuam desconhecidos e devem existir funcionalidades e versões adicionais. As análises adicionais continuam e a Symantec publicará quaisquer atualizações sobre futuras descobertas.
Leitura adicional
Indicadores de comprometimento para administradores de segurança e informações técnicas mais detalhadas podem ser encontrados em nosso relatório técnico – Regin: Top-tier espionage tool enables stealthy surveillance
Informações de proteção
Produtos Symantec e Norton detectam esta ameaça como Backdoor.Regin.
summary
지능적인 악성 코드 중 하나인 레긴(Regin)은 적어도 2008년부터 전 세계의 다양한 표적을 대상으로 한 조직적인 스파이 작전에 활용되어 왔습니다. 백도어 유형의 트로이 목마인 레긴은 매우 높은 수준의 기술 전문성을 갖춘 복잡한 악성 코드입니다. 레긴은 광범위한 기능을 활용하여 표적에 따라 맞춤 구현할 수 있으며, 관련 제어 권한을 가진 사용자에게 대규모 정탐을 가능케 하는 강력한 프레임워크를 제공하므로 정부 기관, 기간산업 기관, 기업, 연구 기관, 개인 사용자를 대상으로 한 스파이 작전에 이용되어 왔습니다.
레긴을 개발하는 데 수개월에서 많게는 수년이 소요되었을 것으로 보이며 개발자들이 관련 행적을 감추기 위해 많은 노력을 기울였을 것으로 추측됩니다. 레긴의 기능과 그를 뒷받침하는 리소스의 수준으로 미루어볼 때 이 악성 코드는 일부 국가 정부에서 사용되는 주요 사이버 첩보 수단 중 하나로 보입니다.
시만텍이 새로 발표한 기술 백서에서 소개하는 것처럼 Backdoor.Regin은 다단계 보안 위협으로, 첫 단계를 제외한 모든 단계가 암호화되고 숨겨져 있습니다. 첫 단계를 실행하면 후속 단계가 차례로 해독되고 로드되어 총 5단계가 수행되는데, 개별 단계만으로는 전체 패키지를 파악하는 것이 거의 불가능합니다. 이 보안 위협을 분석하고 이해하려면 다섯 단계 전체를 획득해야 합니다.
그림 1. 레긴의 5단계
또한 레긴은 모듈 방식을 사용하므로 공격 표적에 따라 맞춤 기능을 로드하는 것이 가능합니다. 이러한 모듈 방식은 Flamer, Weevil(The Mask)과 같은 다른 정교한 악성 코드 그룹에서도 확인된 바 있으며, 다단계 로딩 아키텍처는 Duqu/Stuxnet 보안 위협 계열과 유사합니다.
추이 및 공격 대상
레긴 감염 사례는 2008년에서 2011년 사이에 다양한 조직에서 발견되었다가 갑작스럽게 사라졌습니다. 2013년부터는 이 악성 코드의 새로운 버전이 활동하기 시작했는데, 민간 기업을 비롯하여 정부 기관, 연구 기관 등이 공격 표적에 포함되었습니다. 절반에 가까운 감염 사례가 개인 사용자와 소기업에서 발견되었습니다. 통신 회사에 대한 공격은 해당 인프라스트럭처를 통해 통화 라우팅에 접근하는 데 주안점을 두고 설계된 것으로 보입니다.
그림 2. 확인된 레긴 감염 사례(부문별)
한편 감염 사례는 다양한 지역에서 나타나고 있는데, 특히 10개국에서 그 활동이 두드러졌습니다.
그림 3. 확인된 레긴 감염 사례(국가별)
감염 벡터 및 페이로드
레긴의 감염 벡터는 표적에 따라 달라지며, 현재로서는 재현 가능한 벡터가 발견되지 않았습니다. 시만텍은 일부 피해자들이 유명 웹 사이트를 사칭한 스푸핑 버전에 방문하도록 유인되었을 것으로 보고 있습니다. 이 경우 보안 위협이 웹 브라우저 또는 애플리케이션 익스플로잇을 통해 설치될 가능성이 있습니다. 실제로 일부 시스템의 로그 파일을 보면 Yahoo! Instant Messenger의 미확인 익스플로잇을 통해 레긴이 유입된 것을 알 수 있습니다.
레긴은 모듈 방식을 사용하므로 공격자가 필요에 따라 표적에 적합한 맞춤형 기능을 추가할 수 있는 유연성을 제공합니다. 일부 맞춤형 페이로드는 매우 정교하고 특정 분야에 대한 고도의 전문성을 보여주는데, 이 역시 레긴 개발 조직이 보유한 리소스의 수준을 가늠케 합니다.
레긴 페이로드는 수십 가지에 달합니다. 이 보안 위협은 다양한 RAT(Remote Access Trojan) 기능을 표준으로 제공하며, 여기에는 스크린샷 캡처, 마우스의 포인트 앤 클릭 기능 제어, 암호 도용, 네트워크 트래픽 감시, 삭제 파일 복구 등이 포함됩니다.
그 외에 Microsoft IIS 웹 서버 트래픽 모니터, 휴대폰 기지국 제어 장치 관리에 대한 트래픽 감시 프로그램 등 보다 정교하고 특화된 형태의 페이로드 모듈도 발견되었습니다.
은닉 기능
레긴 개발자들은 이 악성 코드가 이목을 끌지 않도록 하는 데 각별한 노력을 기울였습니다. 이러한 은닉성은 수년에 걸친 첩보 작전에 이용될 가능성을 시사합니다. 심지어 악성 코드의 존재가 드러나는 경우라도 구체적으로 어떤 활동을 수행하는지 파악하기가 매우 어렵습니다. 시만텍은 샘플 파일을 해독한 후에야 페이로드를 분석할 수 있었습니다.
레긴은 다양한 “은닉” 기능을 갖추고 있습니다. 그중에는 분석 차단(anti-forensics) 기능, 맞춤형 암호화 가상 파일 시스템(EVFS), 일반적으로 사용되진 않지만 RC5 변종의 형태를 띤 대체 암호화 기능이 포함되어 있습니다. 레긴은 ICMP/ping, HTTP 쿠키에 포함된 명령, 맞춤형 TCP 및 UDP 프로토콜 등 여러 정교한 수단을 통해 공격자와 은밀하게 소통합니다.
결론
레긴은 매우 복잡한 보안 위협으로 조직적인 데이터 수집 또는 첩보 작전에 이용되어 왔습니다. 공격자가 이 악성 코드를 개발하고 운영하는 데 상당한 시간과 재원을 투자했을 것으로 보이며, 이는 배후에 국가 정부가 개입되어 있을 가능성을 시사합니다. 이 악성 코드는 표적을 지속적이고 장기적으로 정탐하는 데 최적화되어 있습니다.
레긴의 발견은 첩보 활동을 위한 툴 개발에 지속적으로 얼마나 많은 투자가 이루어지는지 보여줍니다. 시만텍은 레긴의 구성 요소 중 상당수가 아직 밝혀지지 않았으며 또 다른 기능과 버전도 존재할 가능성이 있다고 판단합니다. 시만텍은 추가적인 분석을 통해 새롭게 밝혀지는 정보를 업데이트할 계획입니다.
추가 자료
보안 관리자가 주목해야 할 감염 지표를 비롯하여 보다 자세하고 기술적인 정보는 시만텍 기술 백서, 레긴: 은밀한 감시 기능을 갖춘 최첨단 첩보 툴을 참조하십시오.
시만텍의 보호
시만텍 및 노턴 제품은 이 보안 위협을 Backdoor.Regin으로 탐지합니다.
summary
這款先進的惡意軟體,名稱為 Regin;至少自 2008 年起就已經開始用運用在有系統的窺伺活動中,針對許多跨國目標進行窺伺。Regin 屬於後門類型的木馬程式,是一款複雜的惡意軟體,其結構呈現出罕見的技術專業能力。這款惡意軟體藉由依目標而定的眾多功能實現自訂目標,能夠使其操控者得以運用功能強大的架構進行大規模監視,並且已經運用在以政府機關、基礎設施營運商、各級企業、研究機構乃至於平民個人為對象的窺伺行動當中。
這款惡意軟體的開發時間,就算不是耗時數年,也是耗費數個月才完成的;而且作者也花費許多心思隱匿其蹤跡。Regin 的功能及其背後所投注的資源層級,在在顯示,這是一款國家級的重大網路刺探工具。
正如賽門鐵克在新發行的技術白皮書中所言,Backdoor.Regin 是一項分段式威脅,而且除第一階段外,各個階段都經過隱藏並以加密處理。執行第一階段會啟動一連串的解密作業,並載入所有後續階段,一共五個階段。而各別階段皆提供少量有關完整套件的資訊。只有集合全部五個階段,才能分析並瞭解這項威脅。
圖 1.Regin 的五個階段
Regin 也採用模組化方式,載入專為特定目標而設計的自訂功能。這種模組化方式也已經在其他系列的精密惡意軟體系列中發現,例如 Flamer 與 Weevil (即「面具」),而分段式載入架構,也類似於 Duqu/Stuxnet 系列威脅所呈現的情況。
時間進程與目標相關資料
在 2008 年至 2011 年之間,我們觀察到 Regin 感染各種組織機構,而在此之後,它卻突然隱匿。而此惡意軟體的新版本,則是自 2013 年起重新出現。攻擊目標包含民營公司、政府機關以及研究機構。將近半數的感染,都是以平民個人與小型企業做為目標。針對電信公司的攻擊,顯然意在取得透過其基礎設施傳送的通話內容。
圖 2.經各部門所確認的 Regin 感染事件
感染事件發生在各個不同的地區,已經獲悉的感染,主要發生於十個不同的國家地區。
圖 2.經各部門所確認的 Regin 感染事件
感染事件發生在各個不同的地區,已經獲悉的感染,主要發生於十個不同的國家地區。
summary
An advanced piece of malware, known as Regin, has been used in systematic spying campaigns against a range of international targets since at least 2008. A back door-type Trojan, Regin is a complex piece of malware whose structure displays a degree of technical competence rarely seen. Customizable with an extensive range of capabilities depending on the target, it provides its controllers with a powerful framework for mass surveillance and has been used in spying operations against government organizations, infrastructure operators, businesses, researchers, and private individuals.
It is likely that its development took months, if not years, to complete and its authors have gone to great lengths to cover its tracks. Its capabilities and the level of resources behind Regin indicate that it is one of the main cyberespionage tools used by a nation state.
As outlined in a new technical whitepaper from Symantec, Backdoor.Regin is a multi-staged threat and each stage is hidden and encrypted, with the exception of the first stage. Executing the first stage starts a domino chain of decryption and loading of each subsequent stage for a total of five stages. Each individual stage provides little information on the complete package. Only by acquiring all five stages is it possible to analyze and understand the threat.
Figure 1. Regin’s five stages
Regin also uses a modular approach, allowing it to load custom features tailored to the target. This modular approach has been seen in other sophisticated malware families such as Flamer and Weevil (The Mask), while the multi-stage loading architecture is similar to that seen in the Duqu/Stuxnet family of threats.
Regin infections have been observed in a variety of organizations between 2008 and 2011, after which it was abruptly withdrawn. A new version of the malware resurfaced from 2013 onwards. Targets include private companies, government entities and research institutes. Almost half of all infections targeted private individuals and small businesses. Attacks on telecoms companies appear to be designed to gain access to calls being routed through their infrastructure.
Figure 2. Confirmed Regin infections by sector
Infections are also geographically diverse, having been identified in mainly in ten different countries.
Figure 3. Confirmed Regin Infections by Country
The infection vector varies among targets and no reproducible vector had been found at the time of writing. Symantec believes that some targets may be tricked into visiting spoofed versions of well-known websites and the threat may be installed through a Web browser or by exploiting an application. On one computer, log files showed that Regin originated from Yahoo! Instant Messenger through an unconfirmed exploit.
Regin uses a modular approach, giving flexibility to the threat operators as they can load custom features tailored to individual targets when required. Some custom payloads are very advanced and exhibit a high degree of expertise in specialist sectors, further evidence of the level of resources available to Regin’s authors.
There are dozens of Regin payloads. The threat’s standard capabilities include several Remote Access Trojan (RAT) features, such as capturing screenshots, taking control of the mouse’s point-and-click functions, stealing passwords, monitoring network traffic, and recovering deleted files.
More specific and advanced payload modules were also discovered, such as a Microsoft IIS web server traffic monitor and a traffic sniffer of the administration of mobile telephone base station controllers.
Regin’s developers put considerable effort into making it highly inconspicuous. Its low key nature means it can potentially be used in espionage campaigns lasting several years. Even when its presence is detected, it is very difficult to ascertain what it is doing. Symantec was only able to analyze the payloads after it decrypted sample files.
It has several “stealth” features. These include anti-forensics capabilities, a custom-built encrypted virtual file system (EVFS), and alternative encryption in the form of a variant of RC5, which isn’t commonly used. Regin uses multiple sophisticated means to covertly communicate with the attacker including via ICMP/ping, embedding commands in HTTP cookies, and custom TCP and UDP protocols.
Regin is a highly-complex threat which has been used in systematic data collection or intelligence gathering campaigns. The development and operation of this malware would have required a significant investment of time and resources, indicating that a nation state is responsible. Its design makes it highly suited for persistent, long term surveillance operations against targets.
The discovery of Regin highlights how significant investments continue to be made into the development of tools for use in intelligence gathering. Symantec believes that many components of Regin remain undiscovered and additional functionality and versions may exist. Additional analysis continues and Symantec will post any updates on future discoveries
Indicators of compromise for security administrators and more detailed and technical information can be found in our technical paper – Regin: Top-tier espionage tool enables stealthy surveillance
Symantec detects this threat as Backdoor.Regin.
summary
Una malware avanzado conocido como Regin, se ha utilizado en campañas de espionaje sistemático contra una serie de objetivos internacionales desde al menos 2008. Regin es una pieza compleja de software malicioso del tipo backdoor cuya estructura muestra un grado de competencia técnica que no es muy común. Permite personalizar una amplia gama de capacidades en función del objetivo, ofrece a sus controladores un marco de gran alcance para la vigilancia de masas y se ha empleado en operaciones de espionaje contra organizaciones gubernamentales, operadores de infraestructura, empresas, investigadores y personas privadas.
Es probable que su desarrollo tomara meses, si no es que años, para ser completado y sus autores han hecho todo lo posible para cubrir sus pistas. Sus capacidades y el nivel de recursos detrás de Regin, indican que es una de las principales herramientas de ciberespionaje utilizadas por un Estado-Nación.
Como se indica en un nuevo informe de Symantec[DOB1] , Backdoor.Regin [DOB2] es una amenaza de múltiples etapas y cada una está oculta y cifrada, con la excepción de la primera, en la que se inicia una cadena dominó de descifrado y se carga cada etapa posterior, dando un total de cinco etapas. Cada etapa individual proporciona poca información sobre el paquete completo. Sólo mediante la adquisición de las cinco etapas es posible analizar y comprender la amenaza.
Figura 1. Las 5 etapas de Regin
Regin también utiliza un enfoque modular, lo que permite que se carguen o incluyan características personalizadas adaptadas al objetivo. Este enfoque modular se ha visto en otras familias de malware sofisticado tales como Flamer y Weevil (La Máscara), mientras que la arquitectura de carga multi-etapa es similar a la observada en la familia de amenazas Duqu/Stuxnet.
Las infecciones Regin se han observado en una variedad de organizaciones, entre 2008 y 2011, tras lo cual, se retiró abruptamente. Una nueva versión del malware resurgió a partir de 2013. Los objetivos incluyen empresas privadas, entidades gubernamentales e institutos de investigación. Mientras que casi la mitad de todas las infecciones se produjeron en direcciones que pertenecen a los proveedores de servicios de internet (ISPs), los objetivos de estas infecciones eran miembros de esas empresas. Del mismo modo, los ataques a empresas de telecomunicaciones parecen estar diseñados para tener acceso a las llamadas que se enrutan a través de su infraestructura.
Figura 2. Infecciones confirmadas de Regin por sector
Las infecciones son también geográficamente diversas, habiendo sido identificadas en diez países diferentes.
Figura 3. Infecciones confirmadas de Regin por país
El vector de la infección varía entre objetivos y ningún vector reproducible se ha encontrado al momento de la escritura. Symantec cree que algunos objetivos pueden ocultados para visitar versiones falsas de sitios web conocidos y la amenaza puede ser instalada a través del navegador web o mediante la explotación de una aplicación. En una computadora, los archivos de registro mostraron que Regin se originó de Yahoo! Instant Messenger, a través de una secuencia de mandos sin confirmar.
Regin utiliza un enfoque modular, lo que da flexibilidad a los operadores de estas amenazas, ya que pueden cargar características personalizadas adaptadas a cada objetivo individual cuando sea necesario. Algunas cargas útiles personalizadas son muy avanzadas y exhiben un alto grado de conocimientos en sectores especializados, una prueba más del alto grado de recursos de los que disponen los autores de Regin.
Hay docenas de cargas útiles Regin. Las capacidades estándar de la amenaza incluyen varias características de acceso remoto troyano (RAT) tales como: captura de pantalla, control de las funciones del mouse, robo de contraseñas, monitoreo del tráfico de la red y la recuperación de archivos borrados.
Más específicos y avanzados módulos de carga útil también fueron descubiertos, tal es el caso de un monitoreo del tráfico del servidor web Microsoft IIS y un rastreador de tráfico de la administración del control de estaciones base de telefonía móvil.
Los desarrolladores de Regin ponen un considerable esfuerzo para hacerlo altamente discreto. Su carácter discreto significa que potencialmente puede ser utilizado en las campañas de espionaje que duran varios años. Incluso, cuando se detecta su presencia, es muy difícil determinar lo que está haciendo. Symantec sólo fue capaz de analizar las cargas útiles después de descifrar archivos ejemplo.
Tiene varias características “de precaución”. Éstas incluyen capacidades anti-forenses, un sistema virtual hecho a la medida de encriptado de archivos (EVFS) y cifrado alterno en la forma de una variante de RC5, que no se usa comúnmente. Regin utiliza múltiples sofisticados medios para comunicarse secretamente con el atacante, incluso a través de ICMP/ping, la incrustación de comandos en las cookies de HTTP, TCP personalizado y protocolos UDP.
Regin es una amenaza altamente compleja que se ha utilizado en recolección sistemática de datos o campañas de recopilación de inteligencia. El desarrollo y el funcionamiento de este malware han requerido una importante inversión de tiempo y recursos, lo que indica que detrás es probable que esté un Estado/Nación. Su diseño hace que sea muy adecuado para las operaciones de vigilancia persistentes y de largo plazo contra objetivos.
El descubrimiento de Regin destaca las grandes inversiones que se siguen haciendo en el desarrollo de herramientas para su uso en la recopilación de inteligencia. Symantec cree que muchos de los componentes de Regin permanecen sin ser descubiertos y pueden existir funciones y versiones adicionales. Un análisis adicional continúa y Symantec publicará cualquier actualización de futuros descubrimientos.
Indicadores para los administradores de seguridad e información técnica y detallada sobre Regin se puede encontrar en nuestro whitepaper – Regin: Top-tier espionage tool enables stealthy surveillance
Symantec detecta esta amenaza como Backdoor.Regin[DOB4] .