De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Para el enano nórdico, consulte Regin (mitología nórdica) .
Ver también: WARRIOR PRIDE

Regin (también conocido como Prax o QWERTY ) es un sofisticado juego de herramientas de piratería y malware utilizado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y su contraparte británica, la Sede de Comunicaciones del Gobierno (GCHQ). [1] [2] Fue revelado públicamente por primera vez por Kaspersky Lab , Symantec y The Intercept en noviembre de 2014. [3] [4] El malware se dirige a usuarios específicos de equipos basados ​​en Microsoft Windows y se ha vinculado a la inteligencia de EE. UU. agencia de recolección NSAy su homólogo británico, el GCHQ . [5] [6] [7] The Intercept proporcionó muestras de Regin para su descarga, incluido el malware descubierto en un proveedor de telecomunicaciones belga, Belgacom . [4] Kaspersky Lab dice que se enteró por primera vez de Regin en la primavera de 2012, pero algunas de las primeras muestras datan de 2003. [8] (El nombre Regin se encuentra por primera vez en el sitio web VirusTotal el 9 de marzo de 2011. [4] ) Entre computadoras infectadas en todo el mundo por Regin, el 28 por ciento estaban en Rusia , el 24 por ciento en Arabia Saudita , el 9 por ciento en México e Irlanday el 5 por ciento en India , Afganistán , Irán , Bélgica , Austria y Pakistán . [9]

Kaspersky ha dicho que las principales víctimas del malware son particulares, pequeñas empresas y empresas de telecomunicaciones . Regin se ha comparado con Stuxnet y se cree que fue desarrollado por "equipos de desarrolladores con recursos suficientes", posiblemente un gobierno occidental , como una herramienta de recopilación de datos de usos múltiples específicos. [10] [11] [12]

Según Die Welt , los expertos en seguridad de Microsoft le dieron el nombre de "Regin" en 2011, en honor al astuto enano nórdico Regin . [13]

Operación [ editar ]

Regin utiliza un enfoque modular que le permite cargar funciones que se ajustan exactamente al objetivo, lo que permite un espionaje personalizado. El diseño lo hace muy adecuado para operaciones de vigilancia masiva persistentes a largo plazo contra objetivos. [14] [15]

Regin es sigiloso y no almacena varios archivos en el sistema infectado; en su lugar, utiliza su propio sistema de archivos virtual cifrado (EVFS) contenido en su totalidad dentro de lo que parece un único archivo con un nombre inocuo para el host, dentro del cual los archivos se identifican solo por un código numérico, no por un nombre. El EVFS emplea una variante de cifrado del cifrado RC5 que rara vez se usa . [15] Regin se comunica a través de Internet mediante ICMP / ping , comandos integrados en cookies HTTP y protocolos TCP y UDP personalizados con un servidor de comando y control que puede controlar operaciones y cargar cargas útiles adicionales., etc. [9] [11]

Identificación y denominación [ editar ]

Symantec dice que tanto él como Kaspersky identificaron el malware como Backdoor.Regin . [9] La mayoría de los programas antivirus, incluido Kaspersky, (a octubre de 2015) NO identifican la muestra de Regin lanzada por The Intercept como malware. [16] El 9 de marzo de 2011, Microsoft agregó entradas relacionadas a su Enciclopedia de malware; [17] [18] más tarde se agregaron dos variantes más, Regin.B y Regin.C . Microsoft parece llamar a las variantes de 64 bits de Regin Prax.A y Prax.B . Las entradas de Microsoft no contienen información técnica. [4] Tanto Kaspersky como Symantec han publicado informes técnicos.con la información que aprendieron sobre el malware. [11] [12]

Ataques conocidos y creador de malware [ editar ]

La revista de noticias alemana Der Spiegel informó en junio de 2013 que la Agencia de Seguridad Nacional (NSA) de inteligencia de EE. UU . Había realizado vigilancia en línea tanto de ciudadanos de la Unión Europea (UE) como de instituciones de la UE. La información proviene de documentos secretos obtenidos por el ex trabajador de la NSA Edward Snowden . Tanto Der Spiegel como The Intercept citan un documento secreto de la NSA de 2010 que afirma que ese año realizó ciberataques , sin especificar el malware utilizado, contra las representaciones diplomáticas de la UE en Washington, DC y sus representaciones ante las Naciones Unidas . [4][19] Los investigadores encontraron señales que identificaban el software utilizado como Regin en las máquinas infectadas.

The Intercept informó que, en 2013, el GCHQ del Reino Unido atacó a Belgacom , la empresa de telecomunicaciones más grande de Bélgica. [4] Estos ataques pueden haber llevado a Regin a llamar la atención de las empresas de seguridad. Según el análisis realizado por la firma de seguridad de TI Fox IT, Der Spiegel informó en noviembre de 2014 que Regin es una herramienta de las agencias de inteligencia de Reino Unido y EE. UU. Fox IT encontró a Regin en las computadoras de uno de sus clientes y, según su análisis, partes de Regin se mencionan en el catálogo ANT de la NSA bajo los nombres "Straitbizarre" y "Unitedrake". Fox IT no nombró al cliente, sino a Der SpiegelMencionó que entre los clientes de Fox IT se encuentra Belgacom y citó al titular de Fox IT, Ronald Prins, quien manifestó que no se les permite hablar sobre lo que encontraron en la red de Belgacom. [1]

En diciembre de 2014, el periódico alemán Bild informó que se encontró a Regin en una unidad flash USB utilizada por un miembro del personal de la canciller Angela Merkel . Los controles de todas las computadoras portátiles de alta seguridad en la Cancillería alemana no revelaron infecciones adicionales. [20]

Regin se utilizó en octubre y noviembre de 2018 para piratear la unidad de investigación y desarrollo de Yandex . [21]

Ver también [ editar ]

  • Cooperación del proveedor de antivirus (no detección intencional)
  • Amenaza Persistente Avanzada
  • Guerra cibernética
  • Guerra cibernética en los Estados Unidos
  • Catálogo NSA ANT
  • Stuxnet
  • ORGULLO DE GUERRERO

Referencias [ editar ]

  1. ^ a b Christian Stöcker, Marcel Rosenbach "Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe" Der Spiegel, 25 de noviembre de 2014
  2. ^ http://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html
  3. ^ "Regin revelado" . Kaspersky Lab . Consultado el 24 de noviembre de 2014 .
  4. ↑ a b c d e f Marquis-Boire, Morgan; Guarnieri, Claudio; Gallagher, Ryan (24 de noviembre de 2014). "Malware secreto en ataque de la Unión Europea vinculado a la inteligencia británica y estadounidense" . La intercepción.
  5. ^ [1]
  6. ^ Perlroth, Nicole (24 de noviembre de 2014). "Symantec descubre el código espía 'Regin' que acecha en las redes informáticas" . New York Times . Consultado el 25 de noviembre de 2014 .
  7. ^ Gallagher, Ryan. "La historia interna de cómo los espías británicos piratearon la compañía de telecomunicaciones más grande de Bélgica" . La intercepción.
  8. ^ Kaspersky: Regin: una plataforma maliciosa capaz de espiar redes GSM , 24 de noviembre de 2014
  9. ^ a b c "Regin: la herramienta de espionaje de primer nivel permite una vigilancia sigilosa" . Symantec. 23 de noviembre de 2014 . Consultado el 25 de noviembre de 2014 .
  10. ^ "BBC News - Regin, nuevo error de espionaje de computadoras, descubierto por Symantec" . bbc.com . Consultado el 23 de noviembre de 2014 .
  11. ^ a b c "Libro blanco de Regin" (PDF) . Symantec . Consultado el 23 de noviembre de 2014 .
  12. ^ a b "Libro blanco de Regin" (PDF) . Kaspersky Lab . Consultado el 24 de noviembre de 2014 .
  13. ^ Benedikt Fuest. "Ein Computervirus, so mächtig wie keines zuvor" . Die Welt. Archivado desde el original el 28 de noviembre de 2014.
  14. ^ "Regin Malware - herramienta de espionaje 'patrocinada por el estado' dirigida a gobiernos" . The Hacking Post - Últimas noticias sobre piratería y actualizaciones de seguridad .
  15. ^ a b "¿NSA, GCHQ o ambos detrás del malware Regin similar a Stuxnet?" . scmagazineuk.com. 24 de noviembre de 2014 . Consultado el 25 de noviembre de 2014 .
  16. ^ Virustotal: Relación de detección: 21/56
  17. ^ Centro de protección de malware de Microsoft, haga clic en el botón "Enciclopedia de malware
  18. ^ Centro de protección de Microsoft: Trojan: WinNT / Regin.A
  19. ^ Poitras, Laura; Rosenbach, Marcel; Schmid, Fidelius; Stark, Holger (29 de junio de 2013). "Ataques desde América: NSA espiado en las oficinas de la Unión Europea" . Der Spiegel.
  20. ^ "El gobierno alemán niega haber sido víctima de un ciberataque" . Deutsche Welle . 29 de diciembre de 2014.
  21. ^ Reuters (27 de junio de 2019). "Western Intelligence hackeó Yandex de 'Google de Rusia' para espiar cuentas" . Archivado desde el original el 29 de junio de 2019.

Enlaces externos [ editar ]

  • Artículo por cable sobre Regin
  • [2] https://github.com/Neo23x0/Loki Escáner gratuito para indicadores simples de compromiso, también contra Regin