Regin es un 'innovador' malware usado por los espías del Reino Unido

Una de las más sofisticadas piezas de malware jamas vista ha sido descubierta por unos investigadores. Dubbed Regin es el nombre de esta herramienta que ha espiado a compañías de telecomunicaciones, gobiernos, empresas e individuos durante los últimos seis años y al parecer fue usada por los servicios de inteligencia del Reino Unido.

La compañía de seguridad Symantec ​anunció ayer la existencia de Regin. Los investigadores dicen que es un "​innovador y sin par" malware, "cuya estructura muestra un grado de competencia técnica raramente vista".

Su arquitectura es el sello de calidad de Regin: cada etapa del malware se alberga a escondidas en la sección que la precede. Estas se descargan de a poco, con 5 etapas en total, las que culminan en un ataque capaz de monitorear casi todos los datos que pasan por el computador bajo ataque.

Respecto a lo anterior, Symantec comparó a Reign con el infame malware Stuxnet, el que también tenía muchas capas. Costin Raiu, el director del Equipo de Investigación Global y Análisis en la firma de seguridad Kaspersky Lab, está de acuerdo con la comparación: "Es una buena analogía" me dijo, pero también señaló algunas de las grandes diferencias. Kaspersky también ha trabajado en investigar el malware Regin, ​de acuerdo a un post en el blog de la compañía que apareció después del paper de Symantec. Ellos proporcionaron algunas ideas adicionales.

​Stuxnet fue diseñado para infiltrar y finalmente estropear el programa nuclear iraní. Para esto le dieron el poder de autoreplicarse, el moverse de un computador a otro y poder infectar las memorias USB, las que luego serían llevadas a la instalación nuclear. Una vez ahí Stuxnet intentaría anular las centrifugadoras que son cruciales para las plantas de enriquecimiento del programa nuclear iraní.

Regin no hace ninguna de estas cosas. Trabaja lo más callado posible, dándole acceso al sistema a los atacantes para que estos puedan monitorear, no destruir. "El foco de Reign es la vigilancia, mientras Stuxnet fue diseñado para el sabotaje" dice Raiu.

Respecto a lo que puede hacer una vez dentro del sistema, Regin es capaz de espiar la red, robar datos de variadas formas, guardar las claves secretas del computador, recuperar archivos borrados y tomar pantallazos, entre otras cosas. ​De acuerdo al paper de Symantec estas capacidades pueden mezclarse dependiendo del objetivo que le fue asignado a Regin.

Existe una habilidad en particular que distingue a Regin de otros malware: el poder de monitorear las redes GSM y focalizar sus esfuerzos en las estaciones base GSM. El GSM o Sistema Global de Comunicaciones Móviles, es un protocolo usado por los teléfono móviles y una estación base es esencialmente un poderoso computador que maneja múltiples antenas de telefonía móvil al mismo tiempo.

"El tener acceso a este computador" explica Raiu, "le da al atacante la habilidad de controlar las torres con antenas de celulares". A partir de esto, Raiu dice que es posible lanzar otro tipo de ataque contra los teléfonos móviles e interceptar llamadas o mensajes de texto.

Debido a la capacidad de monitorear el tráfico en una estación base, da la impresión que los atacantes tras Regin tienen especial interés en las telecomunicaciones. Esto también se refleja en quienes han sido blanco de los ataques de este malware. ​De acuerdo a Symantec, el 28 por ciento de las muestras de Ragin que analizaron estaban dirigidas a compañías de telecomunicaciones y sus ataques "estaban diseñados para obtener acceso a las llamadas que pasaran por su infraestructura". ​Una investigación distinta llevada por Kapersky encontró que Regin fue utilizado para atacar las redes GSM de un país de medio oriente durante el año 2008.

Gracias a su naturaleza adaptable Regin también fue utilizado contra compañías energéticas, aerolíneas, investigadores y la industria hospitalaria. El blanco más popular eran individuos y pequeños negocios, alcanzando un 47 por ciento.

Muchos de los blancos estaban en Rusia y Arabia Saudita, de acuerdo a los análisis de Symantec, esto pese a que muestras del malware fueron encontradas en lugares tan lejanos como México, India, Irlanda y Afganistán.

Uno de los afectados, de acuerdo a Raiu, es el criptógrafo belga Jean-Jacque Quisquater. El 2003 se reveló que Quisquater. quien trabaja para la compañía estatal belga Belgacom, fue hackeado por GCHQ, la versión del Reino Unido de la Agencia de Seguridad Nacional estadounidense (NSA), todo lo anterior ​de acuerdo a documentos de Snowden. Hasta ahora no se sabía cuales fueron los métodos utilizados en el hackeo.

Los métodos fueron revelados hoy de acuerdo a fuentes que ​conversaron con The Intercept, ya que Regin fue descubierto durante una investigación interna sobre el intento de hack de GCHQ a la compañía belga.

"Habiendo analizado el malware y luego de revisar documentos de Snowden publicados previamente, estoy convencido que Regin fue utilizado por los servicios de inteligencia de Inglaterra y Estados Unidos" dijo a The Intercept el experto en seguridad que fue contratado para conducir la investigación, Ronald Prins

Al igual que Symantec, Raiu no quiere especular sobre quién está detrás del malware. Sin embargo hay más pistas que dan peso a la teoría que GCHQ está implicado.​ Algunos de los nombres internos de los módulos Regin son LEGSPINv2.6, WILLISCHECKv2.0 y HOPSCOTCH. "Leg Spin" es una técnica del cricket y Willis fue un famoso jugador de cricket, Willis Check One es uno de sus movimientos más famosos de acuerdo a Raiu.

Las marcas temporales o timestamps dejadas en las muestras de Regin también dan una pista de dónde pudieron estar los desarrolladores, de acuerdo a la investigación de Kapersky. "De 100 módulos distintos de Regin" dice Raiu, "las marcas temporales parecen indicar que los atacantes trabajaron entre las 10 AM y las 9 PM GMT". Esto es sólo "si creemos en estas marcas temporales y que no hayan sido falsificadas" agrega Raiu.

Respecto a qué significa la existencia de Regin, Raiu cree que refleja cuan poco sabemos en realidad sobre el mundo de los malware de gama alta hechos por los gobiernos. "Hay signos que han estado desde el 2006, quizás incluso desde el 2003. En mi opinión estos significa que hay muchos icebergs o gemas escondidas allá afuera de las que muy poca gente sabe".