DEFINICIÓN DEL VIRUS
Tipo de virus: malware / amenaza persistente avanzada (APT)
¿Qué es Regin?
En resumen, Regin es una plataforma de ciberataque que los atacantes implementan en las redes de las víctimas para conseguir un control remoto máximo en todos los niveles posibles. Con una plataforma de naturaleza extremadamente modular, dispone de múltiples etapas para llevar a cabo distintas partes del ataque.
El malware puede recopilar keylogs, realizar capturas de pantalla, robar cualquier archivo del sistema, extraer correos electrónicos de servidores de MS Exchange y datos del tráfico de red.
Además, los atacantes pueden vulnerar los controladores de estaciones base GSM, que son ordenadores que controlan la infraestructura de GSM. Esto les permite controlar redes GSM y lanzar otros tipos de ataques, incluida la intercepción de llamadas y mensajes SMS.
¿En qué se diferencia de cualquier otro ataque de APT?
Es uno de los ataques más sofisticados que hemos observado. Desde algunos puntos de vista, la plataforma nos recuerda a otro malware sofisticado: Turla. Algunas similitudes son el uso de sistemas de archivos virtuales y la implementación de drones de comunicación para conectar redes. Sin embargo, a través de su implementación, métodos de codificación, complementos, técnicas de ocultamiento y flexibilidad, Regin supera a Turla como una de las plataformas de ataque más sofisticadas que hemos analizado. La capacidad de este grupo para introducirse y supervisar redes GSM es quizás el aspecto más inusual e interesante de estas operaciones.
¿Quiénes son las víctimas? / ¿Qué puedes decir sobre los objetivos de los ataques?
Las víctimas de Regin se clasifican en las siguientes categorías:
- Operadores de telecomunicaciones
- Instituciones gubernamentales
- Órganos políticos internacionales
- Instituciones financieras
- Instituciones de investigación
- Individuos involucrados en investigaciones matemáticas/criptográficas avanzadas
Hasta ahora, hemos observado dos objetivos principales de los atacantes:
- Recopilar inteligencia
- Facilitar otros tipos de ataques
Hasta el momento, se han identificado víctimas de Regin en 14 países:
- Argelia
- Afganistán
- Bélgica
- Brasil
- Fiyi
- Alemania
- Irán
- La India
- Indonesia
- Kiribati
- Malasia
- Pakistán
- Rusia
- Siria
En total, contamos 27 víctimas diferentes, aunque cabe señalar que la definición de víctima aquí hace referencia a una entidad completa, incluida toda su red. El número de ordenadores de sobremesa individuales infectados con Regin es, por supuesto, muchísimo más alto.
¿Se trata de un ataque patrocinado por países?
Si tenemos en cuenta la complejidad y el coste del desarrollo de Regin, es probable que un país respalde esta operación.
¿Qué país está detrás de Regin?
La atribución sigue siendo un problema muy difícil cuando se trata de atacantes profesionales, como los que están detrás de Regin.
¿Kaspersky Lab detecta todas las variantes de este malware?
Los productos de Kaspersky detectan módulos de la plataforma Regin como: Trojan.Win32.Regin.gen y Rootkit.Win32.Regin.
¿Hay indicadores de compromiso (IOC) para ayudar a las víctimas a identificar la intrusión?
Sí, se ha incluido información de los IOC en nuestro informe de investigación técnica detallado.
