Casi todos los que se ocupan de campañas APT (Advanced Persistent Threat) están hablando de la nueva y sofisticada plataforma de ataque llamada “Regin” (pronunciada como el ex presidente de Estados Unidos Ronald Reagan). La opinión general es que Regin ha sido financiada por algún gobierno, aunque es imposible señalar y culpar a algún país en particular.
Al parecer hay personas y organizaciones que están creando expedientes sobre Regin; por ejemplo Symantec, la semana pasada, publicó la primera versión de su informe, provocando que otros informes salieran a la luz añadiendo resultados a los iniciales. Más de una compañía y más de un investigador, incluyendo el Global Research and Analysis Team de Kaspersky Lab, consideran la campaña APT Regin la más sofisticada jamás analizada.
Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4
— The Verge (@verge) November 23, 2014
Según los resultados de Kaspersky Lab, los objetivos de la campaña APT Regin (Advanced Persistent Threat) son las operadoras de telecomunicaciones, instituciones gubernamentales, cuerpos políticos que operan en diferentes países, instituciones financieras y de investigación y expertos en matemáticas y codificación. Los cibercriminales estuvieron en principio interesados en la recogida de datos sensibles (incluyendo correos electrónicos y documentos) para promover el desarrollo de otras operaciones criminales. El grupo de ataque no sólo tuvo como objetivo las compañías de telecomunicación, lo cual es normal, sino también un proveedor de GSM, lo cual no es tan normal.
GSM son las siglas en inglés de Global System for Mobile communications, Sistema Global para las Comunicaciones Móviles. Es un estándar para comunicaciones entre teléfonos móviles. Lo mejor es pensar en GSM como la segunda generación (2G) de tecnologías de comunicación móvil. El predecesor de las redes 3G y 4G. Sin embargo, según informes, GSM es el estándar por defecto para redes móviles utilizada por la mayoría de compañías telefónicas. Está disponible en más de 219 países o territorios y cubre el 90 por ciento del mercado de telefonía móvil.
El equipo de investigación y análisis global de Kaspersky Lab informó ayer que “la habilidad de este grupo para penetrar y monitorear redes GSM es, tal vez, el aspecto más inusual e interesante de estas operaciones”. “Hoy en día nos hemos vuelto muy dependientes de redes de teléfonos móviles que se basan en los protocolos antiguos de comunicación con poca o sin seguridad disponible para el usuario final. A pesar de que todas las redes GSM tienen mecanismos integrados que permiten a la policía el seguimiento de sospechosos, otras personas podrían beneficiarse de este tipo de mecanismos para lanzar ataques contra usuarios de móviles”.
Kaspersky Lab ha dicho que “los cibercriminales han sido capaces de robar credenciales desde un Controlador de Estación Base GSM (o BSC) interno, perteneciente a un gran empresa de telecomunicaciones que le ha dado acceso a móviles de GSM de esa red en particular.” Mi compañero de Threatpost Mike Mimoso, ha dicho que los Controladores de Estación Base gestionan llamadas mientras se mueven a lo largo de la red móvil, distribuyendo recursos y transferencias de datos móviles.
Los investigadores de Kaspersky Lab han escrito que “esto significa que se podría dar acceso a información como qué llamadas son procesadas por algún móvil en particular, redirigir llamadas a otros móviles, activar los que estén cerca de éste y llevar a cabo actividades delictivas. “Por el momento, los cibercriminales que crearon Regin son de los únicos capaces de llevar a cabo este tipo de operaciones”.
En otras palabras, los cibercriminales de Regin no solo pueden monitorear metadatos de comunicaciones móviles, sino que también pueden redirigir las llamadas de un número a otro.
Según @Kaspersky, #Regin #APT no solo acecha a las víctimas habituales sino también a un famoso codificador y al estándar de GSM
Tweet
Otro aspecto raro y curioso del grupo de ataque de Regin, es la historia del famoso codificador y matemático belga llamado Jean-Jacques Quisquater. En febrero de este año, se dio a conocer que el ordenador personal de Quisquater había sido atacado seis meses antes. No es inusual que académicos prominentes sean objetivo de ciberataques; sin embargo, el caso de Quisquater fue ligeramente diferente por similitudes entre el ataque dirigido a su máquina y un ataque que había sido dirigido a la compañía telefónica belga Belgacom.
Este último incidente fue el tema de una revelación de Edward Snowden reclamando que el ataque había sido orquestado por la NSA (Agencia de Seguridad Nacional) y su correspondiente británica, GCHQ (Cuartel General de Comunicaciones del Gobierno). Por supuesto, muchos medios de comunicación han apuntado que estas similitudes indican que la inteligencia de Estados Unidos e Inglaterra han estado detrás de estos dos ataques. Ni este blog, ni Kaspersky Lab en general, consignarán estas alegaciones, y ha sido informado por un gran número de medios de comunicación.
Como datos importantes de la historia de Quisquater y el hecho de que su objetivo es GSM, la plataforma de ataque Regin es digna de mención por su increíble sofisticación técnica. Los cibercriminales han creado una puerta trasera para su infraestructura de comando con la finalidad de permanecer en las redes de sus víctimas, pasando desapercibidos. Todo el tráfico de comunicación de las campañas ha sido codificado para asegurarse de que los ataques no sean vistos entre los atacantes y su servicio de control, como también entre las máquinas de las víctimas y la infraestructura del ataque.
Absolutely #1 coverage of #Regin #malware espionage campaign, must read to get the whole picture: http://t.co/M1pEhnxCRa by @KimZetter
— Eugene Kaspersky (@e_kaspersky) November 24, 2014
La mayoría de las comunicaciones Regin ocurren entre máquinas infectadas (también conocidas como drones de comunicación), dentro de la red de la víctima. Este sistema fue elegido por dos razones: por un lado, permite acceso total a la cantidad de datos que sale de la red hacia un servicio de comando y control. Cuando los datos salen de la red y viajan a una red desconocida, saltan las alarmas. Así que esta comunicación dentro de la red P2P (peer-to-peer) hace que sea más difícil que los monitores de red se den cuenta de un ataque que esté en curso.
En un país de Oriente Medio, cada una de las redes víctimas identificadas por Kaspersky Lab se comunica con todas las otras redes por medio de una estructura P2P. La red incluye la oficina del presidente, un centro de investigación, una red de un centro educativo y un banco. Una de las víctimas contiene un drone capaz de reenviar los paquetes de datos robados fuera del país hacia el servidor de comando y control localizado en la India.
Los investigadores han escrito que “esto representa un mecanismo de comando y control interesante, que puede pasar inadvertido”. “Por ejemplo, si todos los comandos enviados a la oficina del presidente son enviados a través de la red del banco, entonces todo el tráfico malicioso que es visible desde este sistema administrativo lo será sólo para banco en el mismo país, mientras que el resto del tráfico no será perceptible desde el exterior”.
Regin se compone de 5 fases que dan a los cibercriminales un acceso completo a la red de las víctimas, descargando partes subsecuentes del ataque por cada etapa. Los módulos de la primera fase contienen el único ejecutable en el ordenador de la víctima, y están todos firmados con certificados falsos de Microsoft y Broadcom para parecer legítimos.
Los productos de Kaspersky detectan módulos de la plataforma Regin como Trojan.Win32.Regin.gen y Rootkit.Win32.Regin. Kaspersky Lab también ha dado a conocer un largo documento técnico por si te interesa saber más del tema.