En el mundo de la seguridad informática, los riesgos potenciales para empresas e instituciones, en forma de el malware e caja de herramientas Son numerosos y generalizados.
Grupos de expertos, a menudo patrocinados por gobiernos con fines de vigilancia y espionaje, están librando una guerra virtual que solo tiene los medios con los que se libra pero con implicaciones más que tangibles. La evidencia de esto se dio durante el ataque a Irán a través de malware. Stuxnet (v.articolo).
También de los creadores de Stuxnet, es decir, del grupo de espionaje de TI conectado a la NSA (Agencia de Seguridad Nacional), uno de los supuestamente proviene de caja de herramientas Más complejo y potente en los últimos años, el llamado Regin.
Regin categorizado como un troyano de acceso remoto (RAT), fue descubierto por varias empresas de ciberseguridad como Kaspersky labs y Symantec en el otoño de 2013, a pesar de que estaba presente y activo mucho antes.
El primer uso de Regin Está fechado en 2008 con su versión 1.0, activa hasta 2011. En el 2013 regresa con una nueva versión de 2.0 incluso si se especula con posibles versiones intermedias activas durante estos dos años de pausa.
Lo que hace que este software sea especial es la increíble capacidad de adaptarse al objetivo objetivo, A menudo instituciones y empresas.. Regin ha afectado a un gran porcentaje de proveedores de servicios de Internet y empresas de telecomunicaciones ubicadas principalmente en Rusia y Arabia Saudita, pero también ha causado problemas a las instituciones y empresas europeas.
Pero como lo hace Regin para ser tan efectivo, ¿cómo se usa para apropiarse de la información sensible?
Regin tiene varias funciones, utilizadas principalmente para monitorear y robar información como contraseñas y cualquier tipo de archivo, puede tomar capturas de pantalla, tomar el control de la funcionalidad del mouse y teclado, monitorear el tráfico de datos en una red, etc.
La arquitectura del software es compleja y modular, dividida en etapas 6. A continuación, para aquellos que desean obtener más información, aquí está el enlace al documento de Symantec que explica en detalle la arquitectura del marco con referencias al tipo de cifrado y los protocolos utilizados (liga).
Los vectores de infección de Regin no están claros precisamente por su capacidad para adaptarse a diferentes objetivos en diferentes situaciones. En un caso el vector de infección fue la aplicación. Yahoo! mensajería instantánea, en otros casos usb infectados.
La actividad de Regin solo no se detiene en los años 2008-2011 y 2013-2014, sino que continúa hasta el día de hoy, con un último gran ataque perpetrado contra el gigante ruso Yandex al final de 2018.
Todavía no tenemos toda la información necesaria para luchar e identificarnos. Regin, que logra pasar desapercibido durante meses en una red antes de ser descubierto.
Esto nos hace comprender la complejidad del software y la importancia que tiene en el entorno del ciberespionaje, un entorno que hoy más que nunca es escenario de guerras que tienen el poder de influir en empresas, instituciones y naciones enteras..
fuentes:
https://www.symantec.com/it/it/outbreak/?id=regin
https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/
https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-y...
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
