Regin: Um Malware 'Revolucionário' Usado Por Hackers Britânicos

Um dos mais sofisticados malwares já vistos foi descoberto por pesquisadores. Chamado de Regin, a ferramenta supostamente tem espiado empresas de telecomunicações, governos, empresas e indivíduos ao menos pelos últimos seis anos, e parece ter sido usado pelos serviços de inteligência do Reino Unido.

A empresa de segurança Symantec anunciou a existência do Regin ontem, e os pesquisadores afirmam ser um malware "revolucionário e quase inigualável", "cuja estrutura demonstra um grau de competência técnica raramente visto".

Arquitetura é a marca registrada do Regin: cada etapa do malware é armazenada sorrateiramente na seção que a precede. Estas se descarregam de pouquinho em pouquinho, num total de cinco em estágios, culminando em um monitoramento quase que total de tudo que ocorre em um dispositivo por parte do invasor.

Neste tocante, a Symantec comparou o Regin ao infame malware Stuxnet, que também apresentava uma abordagem de diversos estágios. Costin Raiu, diretor da Equipe de Pesquisa e Análise Global da empresa de segurança Kaspersky Lab concordou com a comparação. "É uma excelente analogia", disse, mas também apontou algumas das principais diferenças entre um e outro. A Kaspersky também tem conduzido pesquisas à respeito do Regin, de acordo com um post publicado após o lançamento do livro branco da Symantec, fornecendo mais algumas informações.

O Stuxnet foi criado para infiltrar e por fim fazer alterações no programa nuclear iraniano. Para tanto, lhe foi conferido a habilidade de se autorreplicar, passar de um computador para o outro e infectar pendrives, que então seriam levados às instalações que seriam seu alvo. Daí em diante, o Stuxnet tentaria controlar as centrífugas cruciais

O Regin não faz nada disso. Ele é o mais discreto possível, dando acesso a invasores para que possam monitorar, não destruir. "O principal foco do Regin seria vigilância, ao passo em que o do Stuxnet era sabotagem", afirmou Raiu.

Quanto à suas capacidades assim que estiver dentro de um sistema, o Regin pode espionar o tráfego de rede; roubar dados de diversas formas; capturar senhas; recuperar alguns arquivos apagados; e tirar screenshots, dentre outras coisas. De acordo com o livro branco da Symantec, estas habilidades variam de acordo com o alvo do Regin.

Há uma função em especial que distingue o Regin de outros malwares, porém: sua capacidade de monitorar o tráfego GSM de estação de base, além do direcionamento específico para estações de base GSM. GSM, ou Sistema Global para Comunicações Móveis, é o conjunto de protocolos-padrão utilizados por telefones celulares, e uma estação de base é, essencialmente, um computador poderoso que lida com diversas torres de celulares simultaneamente.

"O acesso a este computador", explicou Raiu, "dá aos invasores a possibilidade de controlar torres de celulares". A partir disso, Raiu disse que seria possível facilitar outros tipos de ataques contra celulares, além da interceptação de ligações ou mensagens de texto.

Com a habilidade de detectar o tráfego da administração de estações de base, parece que os usuários do Regin tem um interesse particular em telecomunicações. Isto também reflete nos alvos do malware até o momento. De acordo com a Symantec, 28% das amostras de Regin analisadas por eles tinham como alvo empresas de telecomunicações, e cada ataque "desenvolvido para obter acesso à ligações sendo roteadas através de sua infraestrutura". Já uma investigação separada conduzida pela Kaspersky mostrou que o Regin havia sido usado para atacar uma rede GSM em um país do Oriente Médio em 2008.

Por conta de sua natureza adaptável, o Regin também tem sido usada contra empresas do setor de energia, companhias aéreas, pesquisadores, e a indústria de hospitalidade. Os alvos mais populares, porém, foram indivíduos ou pequenas empresas, chegando a níveis de 47%.

A maioria dos alvos estava situado na Rússia e Arábia Saudita, de acordo com a análise da Symantec, apesar de que foram encontradas amostras em locais como México, Índia, Irlanda e Afeganistão.

Um dos indivíduos afetados, de acordo com Raiu, é Jean-Jacque Quisquater, um criptógrafo belga. Em 2013, foi revelado que Quisquater, que trabalha para a empresa de telecomunicações estatal belga, Belgacom, foi hackeado pela GCHQ, a versão britânica da Agência Nacional de Segurança, de acordo com documentos de Snowden. Não se sabe o método empregado para a invasão.

Mas veio à tona agora, de acordo com fontes que falaram com o The Intercept, o Regin foi descoberto durante uma investigação interna da tentativa de invasão por parte do GCHQ à empresa belga.

"Tendo analisado este malware e observado os documentos de Snowden [publicados previamente], estou convencido de que o Regin é utilizado pelos serviços de inteligência britânicos e norte-americanos", declarou ao The Intercept Ronald Prins, um especialista em segurança contratado para conduzir a investigação.

Assim como a Symantec, Raiu não especulou quem estava por trás do malware. Porém, há certas evidências qtalvez adicionem mais peso à afirmação de que o GCHQ está envolvido. Dentre os codinomes internos de módulos do Regin encontramos ocorrências como LEGSPINv2.6, WILLISCHECKv2.0 e HOPSCOTCH. "Leg spin" é o nome de uma tática no críquete, bem como Willis é referência a um famoso jogador de críquete, sendo Willis Check uma de suas famosas jogadas, de acordo com Raiu.

Os timestamps nas amostras do Regin também podem dar pistas da localização de seus criadores, de acordo com a pesquisa da Kaspersky. "Em 100 diferentes módulos do Regin", disse Raiu "[os timestamps] parecem indicar que os invasores trabalhavam entre 10h e 21h GMT". Mas lembre-se, isso apenas "se pudermos confiar nestes timestamps", adicionou Raiu, "caso não tenham sido forjados".

Quanto ao significado da existência do Regin, Raiu crê que ele mostra o quão pouco sabemos sobre este universo dos malwares de alto calibre, governamentais. "Há indícios de que ele exista desde 2006, talvez 2003. Para mim, isso significa que existem muitos icebergs, ou joias raras por aí, que pouquíssimos conhecem."

Tradução: Thiago "Índio" Silva