Ciber-espionaje malware "Regin" identificado por Symantec acechando objetivos de alto perfil durante años.
Día 23/11/2014 | Reporte IT
Regin es un Malware que ataca en múltiples etapas, identificado por Symantec Security Response ha descubierto este troyano puerta trasera en uso, según la empresa de seguridad, por lo menos desde el año 2008.
Los investigadores de Symantec Corp fabricantes del software anti-virus Norton, con sede en Mountain View, California han descubierto una pieza particularmente sofisticada y avanzada de software malicioso, llamado "Regin" o Backdoor Regin, que probablemente fuera desarrollado por una Nación-Estado y ha sido utilizado para espiar a gobiernos, operadores de infraestructuras, empresas privadas, institutos de investigación y personas en 10 países, por lo menos desde el año 2008 dijo en un informe.
El Malware Regin, descrito como una herramienta potente y personalizable cuando se trata de espionaje cibernético. Más de 100 entidades infectados fueron descubiertos por Symantec, la mitad de las cuales se encuentran en Rusia y Arabia Saudita. Se cree que diez países fueron víctimas de este ataque, incluyendo Irán, Irlanda, Bélgica, Austria, México, Pakistán, India, Afganistán junto a Arabia Saudita y Rusia.
"Regin muestra un grado de competencia técnica que rara vez se ve", dijo Symantec en un comunicado el domingo, lanzado junto con un documento técnico sobre el Malware. Hay indicios de que Regin "Es una de las principales herramientas de ciber-espionaje utilizados por una Nación-Estado."
Symantec dijo también que el diseño de Regin "hace que sea muy adecuado para las operaciones de vigilancia persistente, a largo plazo contra objetivos", se retiró en el año 2011, pero volvió a surgir a partir del año 2013 en adelante.
Lo más inquietante sobre Regin es que "vivió" durante al menos seis años antes de que alguien pudiese finalmente detectarlo. El Malware ha sido dirigido principalmente a los individuos y dueños de pequeños negocios. Dado el hecho de que es altamente personalizable, se creó para reunir sólo tipos específicos de información de las víctimas.
El Malware utiliza varias características "stealth" "y aunque se detecte su presencia, es muy difícil determinar lo que está haciendo", según Symantec. además dijo que "muchos de los componentes de Regin permanecen sin descubrirse y su funcionalidad adicional y pueden existir otras versiones."
Regin es un Troyano de tipo puerta trasera (back-door) ", personalizable, con una amplia gama de capacidades en función de la meta", dijo Symantec, y agregó que "ofrece a sus controladores un marco de gran alcance para la vigilancia de masas". Su desarrollo probablemente tomó meses "sino años" y "sus autores han hecho todo lo posible para cubrir sus pistas."
Casi la mitad de todas las infecciones se produjeron a las direcciones de los proveedores de servicios de Internet, según el informe. Dice que los objetivos eran clientes de empresas en lugar de las propias empresas. Alrededor del 28% de los blancos estaban en telecomunicaciones, mientras que otras víctimas estaban en los sectores de la energía, líneas aéreas, de hospitalidad y de investigación, dijo Symantec.
A Symantec le tomó casi un año para publicar el informe sobre el Malware, debido a su dificultad de análisis. Regin tiene cinco etapas diferentes, cada una "oculta y encriptada, con excepción de la primera etapa, todas dependen de la etapa anterior, cuando se trata del proceso de descifrado."
Dijo Symantec "cada etapa individual proporciona poca información sobre el paquete completo. Sólo mediante la adquisición de las cinco etapas es posible analizar y comprender la amenaza."
La primera puesta en marcha fue utilizado para espiar una serie de organizaciones de 2008-2011 cuando fue "retirado de manera abrupta ", con una nueva versión de muestra el año pasado, dijo Symantec. Casi la mitad de las infecciones Regin que han sido identificadas implican a particulares y a pequeñas empresas, con ataques contra el sector de las telecomunicaciones, aparentemente dirigidos a obtener acceso a las llamadas enrutadas a través de esa infraestructura.
Regin utiliza lo que se llama un enfoque modular que permite que se carguen características personalizadas adaptadas a los objetivos, el mismo método aplicado en otros tipos de malware, como Flamer y Weevil (The Mask), dijo la compañía anti-virus. Algunas de sus características también fueron similares al Malware Duqu, descubierto en septiembre del año 2011 y guarda relación con un gusano informático llamado Stuxnet, descubierto el año anterior.
La ciber-seguridad es un tema sensible para los negocios en los Estados Unidos, donde ha habido varios incumplimientos de las grandes empresas con la información del cliente. El gobierno de los Estados Unidos y las empresas privadas de inteligencia cibernética han dicho que sospechan que los hackers respaldados por el Estado en China o Rusia puedan ser los responsables.
Aunque las entidades afectadas por Regin ya se han rastreado, no se sabe cómo realmente fueron atrapados por el Malware en primer lugar. Los investigadores han encontrado que sólo una de las computadoras estaba en Regin y eso fue a través del programa Messenger de Yahoo. Se cree que el Malware utiliza la ingeniería social, engañando al usuario al hacer click en un enlace infectado. Sin embargo, dada la complejidad del Malware, es más probable que Regin encontró un punto débil en el software del programa y lo utilizó para infectar el ordenador sin necesidad de interacción por parte de un usuario real.
No hay comentarios:
Publicar un comentario