fbpx

«Regin» podría ser encausado a la infección y espionaje de puntos estratégicos en el mundo

Regin-Architecture-660x582En estos tiempos modernos las guerras se libran desde un escritorio. Las computadoras y dispositivos con conexión a internet libre se han vuelto verdaderas armas en este conflicto que forma parte ya de la vida global y cotidiana. Organizaciones como Anonimus o el equipo de Stuxnet dan prueba de ello todos los días. Ninguna persona que cuente con conexión a internet está exenta de recibir un ataque. La gravedad del asunto se maximiza cuando esas infecciones individuales apuntan a una estrategia de espionaje contra cierta región o país en el mundo.
A través de información de Symantec (compañía de antivirus) y de documentos develados por Edward Snowden sobre la NSA, se ha dado a conocer en últimas fechas un malware nombrado «Regin» que podría ser encausado a la infección y espionaje de determinados puntos estratégicos en el mundo.
Regin, como fue llamada la herramienta por Microsoft quien desde el 2011 se encuentra investigando los avances del malware, es un programa de ciberespionaje altamente sofisticado que se ha sido utilizado sistemáticamente al menos desde el 2008 con el objetivo de vigilar a objetivos particulares, negocios pequeños, transnacionales de comunicación y empresas gubernamentales del sector energético.
Este malware instala además algunas aplicaciones maliciosas tales como Backdoors (creador de huecos de seguridad en la red) Keyloggers (registros de las teclas presionadas), Sniffers (buscadores de vulnerabilidad), impresiones de pantalla, obtención de video en tiempo real a través de la web cam, módulos para extracción de información de dispositivos USB conectados a la maquina siendo capaz de copiarlos o eliminarlos, además de ser el primero en su clase en infectar sistemas de comunicación móvil interceptando las señales de audio, decodificando los mensajes de texto, emails y demás comunicaciones entre el dispositivo y el internet.
Los primeros registros que se tienen sobre esta plataforma datan de 2009 cuando un usuario anónimo subió componentes de la herramienta al ya histórico sitio http://www.virustotal.com en el cual se analizan archivos bajo sospecha de maliciosidad. Sin embargo fue hasta Marzo del 2011 que Microsoft tomó nota de las múltiples cargas de estos archivos en la base de datos de virus total. Microsoft proclamó el día 9 de ese Marzo que adhería a su base de datos el nuevo troyano bautizado como Regin.A y tan solo un día después anunciaba una variante del mismo el Regin.B
Regin ha resultado muy difícil de descubrir debido a su avanzada técnica para ocultar su información. Se identificó que se archiva en una zona llama «atributos extendidos de Windows que es una zona de almacenamiento de datos físicos que se activan cuando un archivo es creado, la última vez que fue modificado o incluso el registro que se genera cuando se descarga un ejecutable desde internet, zona que por ende hace aparecer un «pop up» de advertencia de peligro para la máquina antes de abrir.
Cuenta además con un avanzado sistema de desactivación en el momento en que se ve vulnerado o descubierto. Apaga sus servicios y desinstala parcialmente sus archivos a tal punto en el que ya no puede ser detectado. Pudiendo llegar a permanecer inactivo durante años hasta que un comando lo reanima nuevamente.
Regin-VictimsEl software además utiliza una avanzada arquitectura de comunicación en la que en lugar de comunicarse directamente con el servidor de los atacantes, las maquinas infectadas se comunican solo entre otras máquinas en su misma red y solo con un nodo que actúa como comunicador con una máquina de otra red. Lo cual crea una enorme red de máquinas infectadas comunicadas entre sí. «Es una locura» – dice Raiu, ingeniero en comunicaciones de Symantec Corporation – «La idea es tener un solo mecanismo de control para todo el país en el que al correr un comando este se replique en todas la maquinas en la red infectada».
Se cree que en un principio se debió haber comenzado con una infección física en uno de los servidores de un instituto de educación en la india la cual recibe peticiones diariamente de todo el mundo infectando computadoras con cada petición. La forma de trabajar al comienzo fue interceptando los paquetes enviados del sitio de la institución y redireccionando al usuario a un sitio que era prácticamente una copia del original con la peculiaridad de descargar el archivo infeccioso de dicho software después todo fue cuestión de tiempo para crear una red inmensa de computadoras infectadas que se reproducía rápidamente. Jamás podrá saberse el alcance real de la herramienta en cuanto a maquinas enfermas.
Después de algunas investigaciones se determinó que un objetivo de la operación era introducir el software en los sistemas de la gigantesca red de Comunicaciones Belga. Interceptar llamadas, controlando el tráfico de las mismas, adhiriendo frecuencias e impidiendo la comunicación de algunos canales. «Es un arma que puede ser usada en caso de guerra, dejar incomunicado un país, crea caos y destrucción»- Asegura Raiu. Se cree además que la base de la operación se encuentra en Medio Oriente o Europa del Este. Junto con la evidencia de la empresa de comunicaciones Belga, se hallaron rastros o logs de las actividades de este software entre lo que destaca conexiones a servicios con nombres como prn021a, gzn010a, wdk004 y kbl027a. Por lo que se puede suponer se encuentra en Afganistan en específico en las ciudades Parwan, Ghazni, Maidan Wardak y Kabul.
Últimamente México se ha convertido en uno de los principales objetivos de esta herramienta de ciberespionaje, se encuentra en el tercer puesto solo detrás de Arabia Saudita y Rusia respectivamente. De los ataques descubiertos en México, el 48% fue a pequeñas empresas y objetivos individuales mientras un 28% hacia grandes empresas de la telecomunicación, esto según datos obtenidos de Reporte Indigo.
«No sabemos a ciencia cierta a que nos estamos enfrentando, probablemente esta conversación también se esté registrando en esas bases de datos maliciosas»- Termina entre risas Raiu.

 

Mundo Digital        

  Escribe: Jesús González

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Powered by WordPress.com. Tema: Baskerville 2 por Anders Noren.

Subir ↑

A %d blogueros les gusta esto: