{"id":4617,"date":"2014-11-25T15:12:13","date_gmt":"2014-11-25T15:12:13","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=4617"},"modified":"2022-03-27T05:15:05","modified_gmt":"2022-03-27T11:15:05","slug":"regin-apt-una-campana-altamente-sofisticada","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/regin-apt-una-campana-altamente-sofisticada\/4617\/","title":{"rendered":"Regin APT: una campa\u00f1a altamente sofisticada"},"content":{"rendered":"<p>La mayor\u00eda de las empresas que rastrean amenazas de avanzada est\u00e1n hablando de una nueva y sofisticada plataforma de ataque. Su nombre es Regin y hay consenso de que alg\u00fan servicio de inteligencia de Estado fue el que lo cre\u00f3 (aunque no se conoce a ciencia cierta cu\u00e1l).<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/11\/05202447\/Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-4618\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/11\/05202447\/Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed.png\" alt=\"Regin-APT-Attacks-Among-the-Most-Sophisticated-Ever-Analyzed\" width=\"1067\" height=\"800\"><\/a><\/p>\n<p>Diversas organizaciones y personas han estado guardando registros de Regin \u2013entre ellas el <a href=\"https:\/\/threatpost.com\/costin-raiu-on-the-regin-apt-malware\/109548\" target=\"_blank\" rel=\"noopener nofollow\">Equipo de An\u00e1lisis e Investigaci\u00f3n Global de Kaspersky Lab<\/a>\u2013 y han llegado a la conclusi\u00f3n de que se trata de la campa\u00f1a de ataque m\u00e1s sofisticada. Symantec fue el primero en dar a conocer un reporte en torno a este troyano el pasado fin de semana, y \u00a0desde entonces otros han ido saliendo a la luz p\u00fablica, aportando informaci\u00f3n al respecto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Highly-complex malware has secretly spied on computers for years, say researchers <a href=\"http:\/\/t.co\/ip7hkaDBEg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/ip7hkaDBEg<\/a> <a href=\"http:\/\/t.co\/TnHhxZS0C4\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/TnHhxZS0C4<\/a><\/p>\n<p>\u2014 The Verge (@verge) <a href=\"https:\/\/twitter.com\/verge\/status\/536627903623360512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 23, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>De acuerdo con los <a href=\"https:\/\/securelist.com\/blog\/research\/67741\/regin-nation-state-ownage-of-gsm-networks\/\" target=\"_blank\" rel=\"noopener\">hallazgos de Kaspersky Lab<\/a>, la campa\u00f1a de Regin ATP dirige su ataque a operadores de telecomunicaciones, instituciones gubernamentales, cuerpo pol\u00edticos multinacionales, e instituciones de investigaci\u00f3n y financieros, as\u00ed como a individuos involucrados en criptograf\u00eda y matem\u00e1ticas de avanzada. Los ciber-criminales est\u00e1n, al parecer, interesados en recolectar datos de inteligencia y facilitar otros tipos de ataques. \u00a0Si bien gran parte de la informaci\u00f3n recopilada incluye el espionaje de correo electr\u00f3nicos y documentos, los malhechores apuntan \u2013y sin piedad- a las empresas de telecomunicaciones y proveedores de servicio GSM.<\/p>\n<p>GSM significa, en ingl\u00e9s, Global System for Mobile Communications. Es un est\u00e1ndar para comunicaciones celulares entre tel\u00e9fonos m\u00f3viles. GSM se considera, por su velocidad de transmisi\u00f3n y otras caracter\u00edsticas, un est\u00e1ndar de segunda generaci\u00f3n (2G). Sin embargo, y de <a href=\"http:\/\/www.4gamericas.org\/index.cfm?fuseaction=page&amp;sectionid=242\" target=\"_blank\" rel=\"noopener nofollow\">acuerdo a reportes<\/a>, es el est\u00e1ndar para las redes m\u00f3viles y el m\u00e1s utilizado por la mayor\u00eda de los prestadores de servicios de telecomunicaciones. Est\u00e1 disponible en m\u00e1s de 219 pa\u00edses y tiene un 90% de participaci\u00f3n de mercado.<\/p>\n<div class=\"pullquote\">Los cibercriminales accedieron a informaci\u00f3n atinente a las llamadas procesadas por una c\u00e9lula particular y redirigirlas a otras, as\u00ed como activar c\u00e9lulas vecinas y llevar a cabo otros ataques.<\/div>\n<p>\u201cLa capacidad de este grupo para penetrar y controlar las redes GSM es quiz\u00e1s lo m\u00e1s inusual pero al mismo tiempo interesante, de estas operaciones\u201d, dijo el Equipo de Investigaci\u00f3n y An\u00e1lisis Global de Kaspersky Lab. \u201cEn el mundo de hoy nos hemos vuelto demasiado dependientes de las redes de telefon\u00eda m\u00f3vil basadas en antiguos protocolos de comunicaci\u00f3n con poca (o ninguna) seguridad para el usuario final. Si bien todas las redes GSM cuentan con mecanismos integrados que permiten a entidades como la polic\u00eda rastrear sospechosos cibercriminales, hay otras entidades que toman ventaja de esto y lanzan otra clase de ataques en contra de usuarios de tel\u00e9fonos m\u00f3viles\u201d.<\/p>\n<p>Kaspersky inform\u00f3 que los atacantes robaron \u00a0las credenciales de un Controlador de Estaciones Base GSM interno propiedad de un operador de telecomunicaciones muy importante que dio acceso a las c\u00e9lulas GSM de esa red en particular. <a href=\"https:\/\/threatpost.com\/regin-cyberespionage-platform-also-spies-on-gsm-networks\/109539\" target=\"_blank\" rel=\"noopener nofollow\">Mike Mimoso<\/a>, mi colega de Threatpost, se\u00f1al\u00f3 que los Controladores de Estaci\u00f3n Base gestionan llamadas mientras se mueven a lo largo de una red m\u00f3vil, asignando recursos y transferencia de datos m\u00f3viles.<\/p>\n<p>\u201cEllo significa que los atacantes pudieron acceder a la informaci\u00f3n sobre las llamadas procesadas por una c\u00e9lula en particular, redirigirlas a otras, activar c\u00e9lulas vecinas y llevar a cabo otras actividades ofensivas\u201d, dijeron los investigadores de Kaspersky Lab. \u201cEn la actualidad los atacantes detr\u00e1s de Regin son los \u00fanicos que se sabe han sido capaces de hacer este tipo de operaciones.\u201d<\/p>\n<p>En otras palabras: los malhechores detr\u00e1s de Regin no s\u00f3lo monitorean de forma pasiva metadatos de comunicaciones celulares; tambi\u00e9n pueden redirigir de manera activa llamadas celulares desde un n\u00famero a otro.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>De acuerdo a @Kaspersky, #Regin #APT busca v\u00edctimas comunes, as\u00ed como a un cript\u00f3grafo famoso y el GSM est\u00e1ndar.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FcY2d&amp;text=De+acuerdo+a+%40Kaspersky%2C+%23Regin+%23APT+busca+v%C3%ADctimas+comunes%2C+as%C3%AD+como+a+un+cript%C3%B3grafo+famoso+y+el+GSM+est%C3%A1ndar.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Otra caracter\u00edstica extra\u00f1a y curiosa del grupo de ataque Regin tiene que ver con la historia de un cript\u00f3grafo y matem\u00e1tico belga (famoso) llamado Jean-Jacques Quisquater. En febrero de este a\u00f1o, empezaron a salir a la luz informes alusivos a que la computadora personal de Quisquater hab\u00eda sido hackeada seis meses atr\u00e1s. Si bien es normal que acad\u00e9micos prominentes como Quisquater sean el blanco de ataques cibern\u00e9ticos, el caso de \u00a0este personaje fue un tanto diferente debido a las similitudes entre el ataque hecho a su m\u00e1quina y otro dirigido la empresa de telecomunicaciones belga Belgacom.<\/p>\n<p>Este \u00faltimo incidente fue objeto de un pronunciamiento de <a href=\"https:\/\/threatpost.com\/belgian-telco-belgacom-compromised\/102299\" target=\"_blank\" rel=\"noopener nofollow\">Edward Snowden<\/a> quien aleg\u00f3 que el ataque hab\u00eda sido orquestado por la NSA y su hom\u00f3logo brit\u00e1nico GCHQ. Por supuesto, muchos medios de comunicaci\u00f3n han denunciado que tales similitudes sugieren que Estados Unidos y la inteligencia brit\u00e1nica estaban detr\u00e1s de ambos ataques. Si bien ni el Kaspersky Daily ni Kaspersky Lab dan consentimiento a tales acusaciones, varias agencias ha hecho\u00a0eco de ello.<\/p>\n<p>Adem\u00e1s de la historia de Quisquater y el hecho de que el troyano tiene como objetivo a los GSM, Regin tambi\u00e9n cuenta con una t\u00e9cnica de ataque sofisticada, especialmente en t\u00e9rminos de incidencia. Los atacantes establecieron puertas traseras con una infraestructura de comando capaz de asegurar la persistencia en las redes de sus v\u00edctimas de forma discreta. El tr\u00e1fico de comunicaciones de la campa\u00f1a fue encriptada para asegurar que los cibercriminales no fueran observados, tanto entre los atacantes y sus servidores de control, as\u00ed como entre los equipos de las v\u00edctimas y la infraestructura de ataque.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Absolutely #1 coverage of <a href=\"https:\/\/twitter.com\/hashtag\/Regin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Regin<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> espionage campaign, must read to get the whole picture: <a href=\"http:\/\/t.co\/M1pEhnxCRa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/M1pEhnxCRa<\/a> by <a href=\"https:\/\/twitter.com\/KimZetter?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KimZetter<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/536995229501370368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 24, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La mayor parte de las comunicaciones de Regin ocurren entre las m\u00e1quinas infectadas \u2013conocidas como \u2018drones\u2019 de comunicaci\u00f3n- en la red de la v\u00edctima. \u00bfLa raz\u00f3n? Es doble: por un lado permite acceder a ellas hasta el fondo\u00a0a la vez que limita la cantidad de datos que salen de la red v\u00eda alg\u00fan servidor de comando y control. As\u00ed que cuando veas datos salir de tu red con destino a una red desconocida, est\u00e1 alerta. De esta forma, dicha\u00a0comunicaci\u00f3n \u201cpeer-to-peer\u201d hace que sea m\u00e1s dif\u00edcil para los monitores de red darse cuenta que un ataque est\u00e1 ocurriendo.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/11\/05202445\/Regin-graph-one.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-4622\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2014\/11\/05202445\/Regin-graph-one.png\" alt=\"Regin-graph-one\" width=\"1280\" height=\"800\"><\/a><\/p>\n<p>En un pa\u00eds desconocido del Medio Oriente, cada red vulnerada identificada por laboratorio Kaspersky se comunica con todas las otras redes en una especie de estructura peer-to-peer. La red incluy\u00f3 la oficina del presidente, un centro de investigaci\u00f3n, la red de una instituci\u00f3n educativa y un banco. Una de las v\u00edctimas contiene un dron capaz de enviar los paquetes de datos robados fuera del pa\u00eds, con el servidor de comando y control ubicados en la India.<\/p>\n<p>\u201cEsto representa un interesante mecanismo de mando y control, que suscita muy pocas sospechas\u201d, escribieron los investigadores. \u201cPor ejemplo, si todos los comandos se env\u00edan a la oficina del presidente a trav\u00e9s de la red del banco, entonces todo el tr\u00e1fico malicioso que es visible para los administradores de sistemas s\u00f3lo se har\u00e1\u00a0con dicho banco, en el mismo pa\u00eds.\u201d<\/p>\n<p>Regin se despliega en cinco etapas, dando a los atacantes acceso completo a una red vulnerada y en la que se cargan etapas con partes posteriores del ataque. Los m\u00f3dulos en la primera etapa contienen el \u00fanico ejecutable almacenado en la computadora de la v\u00edctima (firmados con certificados digitales falsos de Microsoft y Broadcom para hacerlos parecer leg\u00edtimos).<\/p>\n<p>Los productos de Kaspersky detectan los m\u00f3dulos de la plataforma Regin como: Trojan.Win32.Regin.gen y \u00a0Rootkit.Win32.Regin. Kaspersky Lab public\u00f3 un <a href=\"https:\/\/media.kasperskycontenthub.com\/wp-content\/uploads\/sites\/43\/2018\/03\/08070305\/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf\">documento t\u00e9cnico<\/a> al respecto por si quieres conocer m\u00e1s al respecto.<\/p>\n<p style=\"text-align: right\">Traducido por Maximiliano De Benedetto<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La mayor\u00eda de las empresas que rastrean amenazas de avanzada est\u00e1n hablando de una nueva y sofisticada plataforma de ataque. Su nombre es Regin y hay consenso de que alg\u00fan<\/p>\n","protected":false},"author":42,"featured_media":4623,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[122,1261,1282,101,34],"class_list":{"0":"post-4617","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apt","9":"tag-great","10":"tag-investigacion","11":"tag-kaspersky-lab","12":"tag-malware-2"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/regin-apt-una-campana-altamente-sofisticada\/4617\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/4617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=4617"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/4617\/revisions"}],"predecessor-version":[{"id":24264,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/4617\/revisions\/24264"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/4623"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=4617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=4617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=4617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}