Regin APT: una campaña altamente sofisticada

La mayoría de las empresas que rastrean amenazas de avanzada están hablando de una nueva y sofisticada plataforma de ataque. Su nombre es Regin y hay consenso de que algún

La mayoría de las empresas que rastrean amenazas de avanzada están hablando de una nueva y sofisticada plataforma de ataque. Su nombre es Regin y hay consenso de que algún servicio de inteligencia de Estado fue el que lo creó (aunque no se conoce a ciencia cierta cuál).

Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed

Diversas organizaciones y personas han estado guardando registros de Regin –entre ellas el Equipo de Análisis e Investigación Global de Kaspersky Lab– y han llegado a la conclusión de que se trata de la campaña de ataque más sofisticada. Symantec fue el primero en dar a conocer un reporte en torno a este troyano el pasado fin de semana, y  desde entonces otros han ido saliendo a la luz pública, aportando información al respecto.

De acuerdo con los hallazgos de Kaspersky Lab, la campaña de Regin ATP dirige su ataque a operadores de telecomunicaciones, instituciones gubernamentales, cuerpo políticos multinacionales, e instituciones de investigación y financieros, así como a individuos involucrados en criptografía y matemáticas de avanzada. Los ciber-criminales están, al parecer, interesados en recolectar datos de inteligencia y facilitar otros tipos de ataques.  Si bien gran parte de la información recopilada incluye el espionaje de correo electrónicos y documentos, los malhechores apuntan –y sin piedad- a las empresas de telecomunicaciones y proveedores de servicio GSM.

GSM significa, en inglés, Global System for Mobile Communications. Es un estándar para comunicaciones celulares entre teléfonos móviles. GSM se considera, por su velocidad de transmisión y otras características, un estándar de segunda generación (2G). Sin embargo, y de acuerdo a reportes, es el estándar para las redes móviles y el más utilizado por la mayoría de los prestadores de servicios de telecomunicaciones. Está disponible en más de 219 países y tiene un 90% de participación de mercado.

Los cibercriminales accedieron a información atinente a las llamadas procesadas por una célula particular y redirigirlas a otras, así como activar células vecinas y llevar a cabo otros ataques.

“La capacidad de este grupo para penetrar y controlar las redes GSM es quizás lo más inusual pero al mismo tiempo interesante, de estas operaciones”, dijo el Equipo de Investigación y Análisis Global de Kaspersky Lab. “En el mundo de hoy nos hemos vuelto demasiado dependientes de las redes de telefonía móvil basadas en antiguos protocolos de comunicación con poca (o ninguna) seguridad para el usuario final. Si bien todas las redes GSM cuentan con mecanismos integrados que permiten a entidades como la policía rastrear sospechosos cibercriminales, hay otras entidades que toman ventaja de esto y lanzan otra clase de ataques en contra de usuarios de teléfonos móviles”.

Kaspersky informó que los atacantes robaron  las credenciales de un Controlador de Estaciones Base GSM interno propiedad de un operador de telecomunicaciones muy importante que dio acceso a las células GSM de esa red en particular. Mike Mimoso, mi colega de Threatpost, señaló que los Controladores de Estación Base gestionan llamadas mientras se mueven a lo largo de una red móvil, asignando recursos y transferencia de datos móviles.

“Ello significa que los atacantes pudieron acceder a la información sobre las llamadas procesadas por una célula en particular, redirigirlas a otras, activar células vecinas y llevar a cabo otras actividades ofensivas”, dijeron los investigadores de Kaspersky Lab. “En la actualidad los atacantes detrás de Regin son los únicos que se sabe han sido capaces de hacer este tipo de operaciones.”

En otras palabras: los malhechores detrás de Regin no sólo monitorean de forma pasiva metadatos de comunicaciones celulares; también pueden redirigir de manera activa llamadas celulares desde un número a otro.

Otra característica extraña y curiosa del grupo de ataque Regin tiene que ver con la historia de un criptógrafo y matemático belga (famoso) llamado Jean-Jacques Quisquater. En febrero de este año, empezaron a salir a la luz informes alusivos a que la computadora personal de Quisquater había sido hackeada seis meses atrás. Si bien es normal que académicos prominentes como Quisquater sean el blanco de ataques cibernéticos, el caso de  este personaje fue un tanto diferente debido a las similitudes entre el ataque hecho a su máquina y otro dirigido la empresa de telecomunicaciones belga Belgacom.

Este último incidente fue objeto de un pronunciamiento de Edward Snowden quien alegó que el ataque había sido orquestado por la NSA y su homólogo británico GCHQ. Por supuesto, muchos medios de comunicación han denunciado que tales similitudes sugieren que Estados Unidos y la inteligencia británica estaban detrás de ambos ataques. Si bien ni el Kaspersky Daily ni Kaspersky Lab dan consentimiento a tales acusaciones, varias agencias ha hecho eco de ello.

Además de la historia de Quisquater y el hecho de que el troyano tiene como objetivo a los GSM, Regin también cuenta con una técnica de ataque sofisticada, especialmente en términos de incidencia. Los atacantes establecieron puertas traseras con una infraestructura de comando capaz de asegurar la persistencia en las redes de sus víctimas de forma discreta. El tráfico de comunicaciones de la campaña fue encriptada para asegurar que los cibercriminales no fueran observados, tanto entre los atacantes y sus servidores de control, así como entre los equipos de las víctimas y la infraestructura de ataque.

La mayor parte de las comunicaciones de Regin ocurren entre las máquinas infectadas –conocidas como ‘drones’ de comunicación- en la red de la víctima. ¿La razón? Es doble: por un lado permite acceder a ellas hasta el fondo a la vez que limita la cantidad de datos que salen de la red vía algún servidor de comando y control. Así que cuando veas datos salir de tu red con destino a una red desconocida, está alerta. De esta forma, dicha comunicación “peer-to-peer” hace que sea más difícil para los monitores de red darse cuenta que un ataque está ocurriendo.

Regin-graph-one

En un país desconocido del Medio Oriente, cada red vulnerada identificada por laboratorio Kaspersky se comunica con todas las otras redes en una especie de estructura peer-to-peer. La red incluyó la oficina del presidente, un centro de investigación, la red de una institución educativa y un banco. Una de las víctimas contiene un dron capaz de enviar los paquetes de datos robados fuera del país, con el servidor de comando y control ubicados en la India.

“Esto representa un interesante mecanismo de mando y control, que suscita muy pocas sospechas”, escribieron los investigadores. “Por ejemplo, si todos los comandos se envían a la oficina del presidente a través de la red del banco, entonces todo el tráfico malicioso que es visible para los administradores de sistemas sólo se hará con dicho banco, en el mismo país.”

Regin se despliega en cinco etapas, dando a los atacantes acceso completo a una red vulnerada y en la que se cargan etapas con partes posteriores del ataque. Los módulos en la primera etapa contienen el único ejecutable almacenado en la computadora de la víctima (firmados con certificados digitales falsos de Microsoft y Broadcom para hacerlos parecer legítimos).

Los productos de Kaspersky detectan los módulos de la plataforma Regin como: Trojan.Win32.Regin.gen y  Rootkit.Win32.Regin. Kaspersky Lab publicó un documento técnico al respecto por si quieres conocer más al respecto.

Traducido por Maximiliano De Benedetto

 

 

 

Consejos