DEFINICIÓN DEL VIRUS
Tipo de virus: malware/amenaza persistente avanzada (APT)
¿Qué es Regin?
Regin es una plataforma de ciberataque capaz de monitorear redes GSM, además de ejecutar otras tareas de espionaje "estándar".
En resumen, Regin es una plataforma de ciberataque que implementan los atacantes en las redes de la víctima para, en última instancia, tomar el control de forma remota en la mayor cantidad posible de niveles. Como esta plataforma es muy modular, ejecuta las diversas partes del ataque en múltiples etapas.
Este tipo de malware puede recopilar registros de pulsaciones de teclado, tomar capturas de pantalla, robar cualquier archivo del sistema, extraer correos electrónicos de servidores MS Exchange y cualquier dato del tráfico de red.
Además, los atacantes pueden comprometer los controladores de estaciones base GSM, que son las computadoras encargadas de controlar la infraestructura GSM. Esto les permite controlar las redes GSM y lanzar otros tipos de ataque, lo que incluye interceptar llamadas y mensajes SMS.
¿Cómo se diferencia de otros tipos de ataques APT?
Este es uno de los ataques más sofisticados que hemos observado hasta ahora. En opinión de algunos, la plataforma se asemeja a otro tipo de malware sofisticado: Turla. Algunas similitudes incluyen el uso de sistemas de archivos virtuales y la implementación de drones de comunicación para establecer un puente entre las redes. Sin embargo, Regin, debido a su implementación, métodos de codificación, complementos, técnicas de encubrimiento y flexibilidad, supera a Turla como una de las plataformas de ataque más sofisticadas que hemos visto. La capacidad de este grupo de penetrar y monitorear las redes GSM es tal vez el aspecto más inusual e interesante de estas operaciones.
¿Quiénes son las víctimas? ¿Qué se puede decir sobre los objetivos de los ataques?
Las víctimas de Regin se clasifican en las siguientes categorías:
- Operadores de telecomunicaciones
- Organismos gubernamentales
- Entidades políticas multinacionales
- Instituciones financieras
- Instituciones de investigación
- Personas involucradas en investigación matemática/criptográfica avanzada
Hasta ahora, hemos observado dos objetivos principales de los atacantes:
- Recopilación de inteligencia
- Facilitación de otros tipos de ataques
Hasta ahora, se han identificado víctimas de Regin en 14 países:
- Argelia
- Afganistán
- Bélgica
- Brasil
- Fiyi
- Alemania
- Irán
- India
- Indonesia
- Kiribati
- Malasia
- Pakistán
- Rusia
- Siria
En total, contamos 27 víctimas diferentes, aunque cabe señalar que, en este documento, la definición de víctima se refiere a una entidad completa, incluida toda su red. No cabe duda de que la cantidad de PC individuales infectadas con Regin es muchísimo más alta.
¿Es este un ataque patrocinado por un país o estado?
Considerando la complejidad y el costo de desarrollo de Regin, es probable que se trate de una operación patrocinada por un país o estado.
¿Qué país se encuentra detrás de Regin?
Sigue siendo muy difícil atribuir los ataques de Regin especialmente si tenemos en cuenta que tras él trabajan atacantes profesionales.
¿Detecta Kaspersky Lab todas las variantes de este malware?
Los productos Kaspersky detectan módulos de la plataforma Regin como: Trojan.Win32.Regin.gen y Rootkit.Win32.Regin.
¿Existen indicadores de comprometimiento (IOC) que ayuden a las víctimas a identificar la intrusión?
Sí, incluimos la información de IOC en nuestro informe técnico de investigación detallado.