" />
ZOOM
GALERÍA
0 COMENTARIOS

Se ha utilizado para espiar a centros de investigación y compañías energéticas y de telecomunicaciones

Symantec descubre Regin, un sofisticado troyano activo desde 2008

Que los troyanos son cada vez más sofisticados es un hecho. Sus creadores cada vez emplean técnicas más avanzadas a la hora de crearlos, de forma que resulte más complicado detectarlos. Algunos presentan tal grado de complejidad que se tardan varios meses o años en tener noticia de su existencia, revelada en muchos casos por expertos en seguridad al servicio de compañías creadoras de antivirus y software de protección. Estos, por su sofisticación, objetivos y grado de despliegue podrían ser perfectamente herramientas creadas por gobiernos o grandes corporaciones para espiar a otras naciones y/o a su competencia. Stuxnet, descubierto en 2010, es un claro ejemplo del malware que entra dentro de esta categoría. Y justo este fin de semana, los expertos de Symantec han anunciado que han descubierto otro malware que puede pertenecer al mismo grupo: el troyano Regin, que lleva en activo al menos desde 2008, y se ha utilizado en operaciones de espionaje contra gobiernos, empresas, investigadores y particulares.

Regin es un malware bastante complejo, cuya estructura ha puesto de manifiesto el elevado nivel técnico de sus creadores. Es tan sofisticado que se cree que se tardaron meses, o incluso años, en desarrollarlo, en un proceso en el que se invirtieron grandes cantidades de tiempo y recursos. Sus desarrolladores se esforzaron en conseguir que pasase desapercibido añadiéndole varios mecanismos de ocultación, y por su grado de personalización, es complicado saber qué es lo que hace con detalle en un sistema infectado, ya que su actividad puede variar de uno a otro. Además, sus creadores se han tomado muchas molestias para borrar su rastro y que resulte imposible identificarlos. Es un malware personalizable, cuyo funcionamiento puede adaptarse en función del objetivo a infectar, y cuenta con un gran número de funciones que pueden configurarse para optimizar los resultados que sus controladores quieran obtener en cada caso.

Regin se despliega en cinco fases, todas cifradas y ocultas, salvo la primera. Al ejecutarla se inicia una cadena de acciones, que desencripta y hace aflorar las cuatro fases siguientes. Durante su instalación y despliegue también se cargan los módulos de vigilancia y captura de datos, personalizados por el atacante con funciones específicas para su objetivo: captura de pantallas, toma de control de las funciones del ratón, robo de contraseñas, monitorización del tráfico de red, recuperación de archivos borrados, etc. Cada fase del troyano, por sí sola, proporciona muy poca información sobre su conjunto. Es necesario localizar las cinco para poder analizar Regin en profundidad, y hacerse una idea de sus implicaciones. Por tanto, este troyano pone a disposición de sus controladores una infraestructura de vigilancia y consecución de información muy potente.

Sus descubridores han encontrado presencia de ataques con Regin, pensados sobre todo para llevar a cabo una vigilancia de los sistemas infectados a largo plazo, en gran número de países, encabezados por la Federación Rusa y Arabia Saudí. También han encontrado rastros del malware en otros lugares, como México, Irlanda, India, Afganistán, Irán, Bélgica, Austria o Pakistán. Entre los objetivos que ha alcanzado hay un gran número de empresas y compañías de pequeño tamaño, pero también hay compañías de telecomunicaciones (en este caso, los atacantes tratan de obtener acceso a las llamadas telefónicas realizadas a través de su infraestructura), cadenas hoteleras, corporaciones energéticas, líneas aéreas y centros de investigación. Como hemos mencionado, los primeros datos de su actividad quedan registrados en 2008, y desaparece repentinamente en 2011. Pero ese no fue su final. A partir de 2013 se tiene noticia de la actuación de una nueva versión, que todavía está operativa.

Los mecanismos por los que Regin puede llegar a infectar un sistema son muy variados, y por ahora no se ha podido identificar una norma. En Symantec creen que muchas de las infecciones se pueden haber producido al visitar páginas web o al instalar aplicaciones que parecen legítimas, pero que han sido falsificadas. Además, puede que muchos componentes de Regin no hayan sido aún descubiertos, y que existan varias versiones de este troyano aún por aflorar, por lo que seguirán investigando para identificar el mayor número de variantes del ataque y de sistemas atacados posible.

Foto apertura: Pascal Terjan

No comments yet.

Deja un comentario