quiénes estarían detrás del virus informático Regin, que afecta a Rusia y México?

Featured photo - Secret Malware in European Union Attack Linked to U.S. and British Intelligence
De malware conocido como Regin es la sospecha de la tecnología detrás de los ataques cibernéticos sofisticados realizados por los Estados Unidos y las agencias de inteligencia británicos en la Unión Europea y una empresa de telecomunicaciones belga, de acuerdo con fuentes de la industria de seguridad y análisis técnico realizado por la intersección.

Regin se encuentra en los sistemas infectados internos de computadoras y servidores de correo electrónico en Belgacom, un proveedor de telefonía e internet belga parcialmente estatal, tras los informes del año pasado que la empresa fue blanco de una operación de vigilancia de alto secreto llevado a cabo por la agencia de espionaje británica Government Communications Headquarters , fuentes de la industria dijeron a la intercepción.

El malware que roba datos de los sistemas infectados y se disfraza de software legítimo Microsoft, también se ha identificado en los mismos sistemas informáticos de la Unión Europea, que fueron objeto de vigilancia por parte de la Agencia de Seguridad Nacional.

Las operaciones de hacking contra Belgacom y la Unión Europea fueron revelados por primera vez el año pasado a través de los documentos filtrados por NSA whistleblower Edward Snowden. El malware específico utilizado en los ataques nunca se ha revelado, sin embargo.

El malware Regin, cuya existencia fue reportado por primera vez por la empresa de seguridad Symantec el domingo, es uno de los más sofisticados jamás descubierta por los investigadores. Symantec comparado Regin a Stuxnet, un programa de malware patrocinada por el Estado desarrollado por los EE.UU. e Israel para sabotear las computadoras en una instalación nuclear iraní. Fuentes cercanas a las investigaciones internas en Belgacom y la Unión Europea han confirmado a La intercepción que el malware Regin fue encontrado en su sistema después de que fueron comprometidas, que une la herramienta de espionaje a las operaciones secretas del GCHQ y la NSA.

Ronald Prins, experto en seguridad cuya Fox empresa de TI fue contratado para eliminar el malware de redes de Belgacom, dijo a La Intercepción de que era “el malware más sofisticadoque había estudiado nunca.

“Después de haber analizado este malware y miró a los publicados anteriormente [] Documentos de Snowden,” Prins dijo: “Estoy convencido de Regin es utilizado por los servicios de inteligencia británicos y estadounidenses.”

Un portavoz de Belgacom se negó a comentar específicamente sobre las revelaciones Regin, pero dijo que la compañía había compartido “cada elemento sobre el ataquecon un fiscal federal en Bélgica y que está llevando a cabo una investigación criminal sobre la intrusión. “Es imposible para nosotros hacer comentarios sobre esto”, dijo Jan Margot, un portavoz de Belgacom. Siempre ha sido claro para nosotros que el malware era muy sofisticado, pero desde que el conjunto esta historia limpieza pertenece al pasado para nosotros.

En una misión de hacking con nombre en código Operación Socialista, GCHQ tuvo acceso a los sistemas internos de Belgacom en 2010 al dirigirse ingenieros de la empresa. La agencia secretamente instalado los llamados “implantesde malware en los ordenadores de los empleados mediante el envío de su conexión a Internet a una página falsa de LinkedIn. La página maliciosa LinkedIn lanzó un ataque de malware, infectando los ordenadores de los empleados y dar a los espías de control total de sus sistemas, lo que permite GCHQ a ahondar en las redes de Belgacom para robar datos.

Los implantes permiten GCHQ para llevar a cabo la vigilancia de las comunicaciones internas de la empresa Belgacom y dieron espías británicos la capacidad de recopilar datos de la red y los clientes de la compañía, que incluyen la Comisión Europea, el Parlamento Europeo y el Consejo Europeo. Los implantes de software utilizados en este caso eran parte de la suite de software malicioso conocido ahora como Regin.

Una de las claves de la Regin es su sigilo: Para evitar la detección y análisis de frustrar, malware utilizado en este tipo de operaciones con frecuencia se adhieren a un diseño modular. Esto implica la implementación de los programas maliciosos en etapas, por lo que es más difícil de analizar y mitigar ciertos riesgos de ser atrapados.

Sobre la base de un análisis de las muestras de malware, Regin parece haber sido desarrollado a lo largo de más de una década; La Intercepción ha identificado restos de sus componentes se remontan tan lejos como 2003. Regin fue mencionado en una reciente conferencia Hack.lu en Luxemburgo, y el informe de Symantec el domingo dijo que la firma había identificado Regin en los sistemas infectados operados por empresas privadas, entidades gubernamentales, y los institutos de investigación en países como Rusia, Arabia Saudita, México, Irlanda, Bélgica, e Irán.

El uso de técnicas de hacking y malware en espionaje patrocinada por el Estado ha sido documentado públicamente en los últimos años China se ha relacionado con extensa espionaje cibernético, y recientemente el gobierno ruso también fue acusado de haber estado detrás de un ataque cibernético en la Casa Blanca . Regin demuestra, además, que las agencias de inteligencia occidentales también están involucrados en ciberespionaje encubierta.

GCHQ no quiso hacer comentarios para este artículo. La agencia emitió su respuesta estándar a las preguntas, diciendo que “es política de larga data que no hacemos comentarios sobre asuntos de inteligenciay “todo el trabajo de GCHQ se lleva a cabo de acuerdo con un estricto marco jurídico y político, lo que garantiza que nuestras actividades son autorizado, necesaria y proporcionada .

La NSA, dijo en un comunicado: “No vamos a comentar sobre la especulación del Intercepción“.

La Intercepción ha obtenido muestras de malware a partir de fuentes en la comunidad de seguridad y está haciéndolo disponible para descarga pública en un esfuerzo por fomentar la investigación y el análisis. (Para descargar el malware, haga clic aquí El archivo está cifrado;. Para acceder a ella en su máquina usar la contraseña “infectado“.) Lo que sigue es un breve análisis técnico de Regin llevada a cabo por el personal de seguridad del ordenador de intercepción. Regin es un extremadamente compleja pieza, de múltiples facetas del trabajo y esto no es en absoluto un análisis definitivo.

En las próximas semanas, la intersección publicará más detalles sobre Regin y la infiltración de Belgacom como parte de una investigación en colaboración con los periódicos belgas y holandeses De Standaard y NRC Handelsblad.
Origen de Regin

En la mitología nórdica, el nombre Regin se asocia con un enano violento que está corrompido por la codicia. No está claro cómo el malware Regin primero obtuvo su nombre, pero el nombre apareció por primera vez en el sitio web VirusTotal el 9 de marzo de 2011.

Der Spiegel informó que, de acuerdo con documentos de Snowden, las redes informáticas de la Unión Europea fueron infiltradas por la NSA en los meses antes de que el primer descubrimiento de Regin.

Fuentes de la industria familiarizadas con la intrusión Parlamento Europeo dijeron a La Intercepción de que tales ataques se llevaron a cabo mediante el uso de Regin y proporcionaron muestras de su código. Este descubrimiento, dijeron las fuentes, puede haber sido lo trajo Regin a la mayor atención de los proveedores de seguridad.

También el 9 de marzo de 2011, Microsoft agregó entradas relacionadas a su Malware enciclopedia:

Nivel de alerta: Grave

Detectado por primera vez, por definición: 1.99.894.0

Últimas detectado por definición: 1.173.2181.0 y superior

Detectado por primera vez en: 09 de marzo 2011

Esta entrada se publicó por primera vez el: 09 de marzo 2011

Esta entrada fue actualizada en: No disponible

Dos variantes más de Regin se han añadido a la Enciclopedia, Regin.B y Regin.C. Microsoft parece detectar las variantes de 64 bits de Regin como Prax.A y Prax.B. Ninguna de las entradas Regin / PRAX se proporcionan con cualquier tipo de resumen o información técnica.

Los siguientes componentes Regin se han identificado:
Cargadores de

La primera etapa son los conductores que actúan como cargadores para una segunda etapa. Tienen un bloque encriptado que apunta a la ubicación de la segunda etapa de carga útil. En NTFS, que es una corriente atributo extendido; en FAT, utilizan el registro para almacenar el cuerpo. Cuando se inicia, esta etapa simplemente carga y ejecuta la etapa 2.

Las cargadoras Regin que se disfrazan de controladores de Microsoft con nombres tales como:

Serial.sys
Cdaudio.sys
ATDISK.SYS
parclass.sys
usbclass.sys

Imitando los controladores de Microsoft permite a los cargadores para disimular mejor su presencia en el sistema y aparecen menos sospechoso para albergar los sistemas de detección de intrusos.
Cargadora etapa

Cuando se inicia, que limpia los rastros de la cargadora inicial, carga la siguiente parte de la caja de herramientas y supervisa su ejecución. En caso de fallo, la etapa 2 es capaz de desinfectar el dispositivo comprometido. Los ceros de malware fuera de su PE (Portable Executable, el formato ejecutable de Windows) encabezados en la memoria, en sustitución de MZ” con su propia 0xfedcbafe marcador mágico.
Orchestrator

Este componente consiste en un orquestador servicio trabajando en el kernel de Windows. Inicializa los componentes básicos de la arquitectura y carga los próximos partes del malware.
Información Cosechadoras

Esta etapa se compone de un Orchestrator servicio situado en tierra de usuario, provisto de muchos módulos que se cargan dinámicamente según sea necesario. Estos módulos pueden incluir los recolectores de datos, un motor de auto-defensa que detecta si se producen intentos de detectar el kit de herramientas, funcionalidad para comunicaciones cifradas, programas de captura de red y controladores remotos de diferentes tipos.
Sigilo Implante

La investigación de la Intercepción reveló una muestra cargado en VirusTotal el 14 de marzo de 2012, que presenta la cabecera 0xfedcbafe único, que es una señal de que no se haya cargado por un conductor Regin y parece proporcionar funcionalidad de sigilo para el kit de herramientas.

Esta imagen muestra los primeros bytes de la muestra en cuestión, que muestra la cabecera 0xfedcbafe única al principio.

Para poder acceder a la información almacenada en la memoria de la computadora, los programas usan objetos que hacen referencia a lugares específicos en memoria llamado punteros. Este archivo binario contiene algunos de esos punteros inicializado, lo que corrobora la hipótesis de que el archivo fue descargado de la memoria durante un análisis forense de un sistema comprometido.

La muestra cuenta con la siguiente picadillo SHA256:

fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129

Esta muestra da un sentido de la sofisticación de los actores y la longitud de las precauciones que se han de adoptar para hacer funcionar tan sigilosamente como sea posible.

Cuando un controlador del núcleo de Windows debe asignar memoria para almacenar algún tipo de datos, se crea los llamados piscinas del kernel. Tales asignaciones de memoria tienen encabezados y las etiquetas que se utilizan para identificar el tipo de objetos que contiene el bloque específico. Por ejemplo estas etiquetas podrían ser Proc, THRD o archivo, que, respectivamente, indican que el bloque dado contendría una estructura de procesos, hilo o un objeto de archivo.
Al realizar el análisis forense de la memoria de un ordenador, es común el uso de una técnica llamada rastreo de la piscina para analizar la memoria del núcleo, enumerar dichas piscinas kernel, identificar el tipo de contenido y extraerlo.

Al igual que los conductores del cargador Regin, este controlador utiliza repetidamente el genérico etiqueta “Ddk” con ExAllocatePoolWithTag () en la asignación de todas las piscinas del kernel:

Esta imagen muestra el uso de la etiqueta “ddk” en la asignación de memoria con la función de Windows ExAllocatePoolWithTag ().

La etiqueta genérica que se utiliza en todo el sistema operativo cuando no se especifica una etiqueta adecuada. Esto hace que sea más difícil para los analistas forenses para encontrar cualquier información útil al hacer rastreo de la piscina, ya que todas sus asignaciones de memoria se mezclarán con otros muchos genéricos.

Además, cuando la liberación de memoria usando ExFreePool (), el conductor pone a cero el contenido, probablemente para evitar dejar huellas en la memoria de la piscina.

El conductor también contiene rutinas para comprobar específica obra del núcleo de Windows en uso, incluyendo versiones muy antiguas como para Windows NT4 Terminal Server y Windows 2000, y luego adapta su comportamiento en consecuencia.

Controladores del núcleo de Windows funcionan en diferentes niveles de prioridad, desde el PASSIVE_LEVEL más bajo al más alto Nivel_Superior. Este nivel es utilizado por el procesador para saber qué tipo de servicio que dé prioridad a la ejecución y para asegurarse de que el sistema no trata de asignar recursos utilizados que podrían resultar en un accidente.

Este controlador Regin comprueba recurrentemente que el IRQL actual (solicitud de interrupción de nivel) se establece en PASSIVE_LEVEL utilizando la función KeGetCurrentIrql () en muchas partes del código, probablemente con el fin de operar tan silenciosamente como sea posible y para evitar posibles confusiones IRQL. Esta técnica es otro ejemplo del nivel de precaución que los desarrolladores tomaron mientras que el diseño de este marco malware.

Tras la ejecución de la rutina de descarga (ubicado en 0xFDEFA04A), el conductor realiza una larga secuencia de pasos para eliminar las trazas restantes y artefactos.
Belgacom Muestra

En una entrevista concedida a la revista belga MondiaalNiews, Fabrice Clément, jefe de seguridad de Belgacom, dijo que la compañía identificó por primera vez el ataque el 21 de junio de 2013.

En la misma entrevista Clément dice que los equipos de destino por los atacantes incluidas las estaciones de trabajo del personal, así como servidores de correo electrónico.

Estas declaraciones confirman el calendario y las técnicas utilizadas en el ataque.

A partir de muestras Regin previamente identificados, La Intercepción desarrolló firmas únicas que pudieran identificar a este juego de herramientas. Un archivo zip con una muestra identificada como Regin / Prax fue encontrado en VirusTotal, un sitio Web en línea gratis que permite a la gente enviar archivos a ser escaneados por varios productos antivirus. El archivo zip fue enviado el 21/06/2013 07:58:37 UTC desde Bélgica, la fecha identificada por Clément. Fuentes familiarizadas con la intrusión Belgacom dijeron a The Intercepción que esta muestra fue subido por un administrador de sistemas de la empresa, quien descubrió el malware y lo ha subido en un intento de investigar qué tipo de malware que era.

El archivo contiene ::

Junto con otros archivos La Intercepción encontró la salida de una herramienta forense, GetThis, que se ejecuta en los sistemas de destino en busca de malware. A partir del contenido del archivo GetThis.log, podemos ver que una muestra llamada “svcsstat.exey se encuentra en C: \ Windows \ System32 \ se recogió y se almacenó una copia del mismo.

El malware en cuestión es 0001000000000C1C_svcsstat.exe_sample”. Esta es una variante de 64 bits de la primera cargadora etapa Regin antes mencionado.

El archivo también contiene la salida de ProcMon, Process Monitor”, una herramienta de monitorización del sistema distribuido por Microsoft y de uso común en medicina forense y análisis de intrusiones.

Este archivo identifica el sistema infectado y ofrece una variedad de información interesante acerca de la red. Por ejemplo:

USERDNSDOMAIN = BGC.NET

USERDOMAIN = BELGACOM

USERNAME = id051897a

USERPROFILE = C: \ Users \ id051897a

La variable de entorno siguiente muestra que el sistema se proporciona con un servidor Microsoft SQL y un servidor de Microsoft Exchange, lo que indica que podría uno de los servidores de correo de empresa comprometida Fabrice Clément mencionó a Mondiaal Noticias:

Path = C: \ ProgramFiles\Legato\nsr\bin;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files \ Microsoft Network Monitor 3 \; C: \ Archivos de programa \ System Center Operations Manager 2007 \; c: \ Archivos de programa (x86) \ Microsoft SQL Server \ 90 \ Tools \ Binn \; D: \ Archivos de programa \ Microsoft \ Exchange Server \ bin

A continuación se muestra una lista de hashes de los archivos de la intersección está poniendo a disposición para su descarga. Teniendo en cuenta que que ha pasado más de un año desde la operación Belgacom fue revelada públicamente, La Intercepción considera probable que el GCHQ / NSA ha sustituido a su caja de herramientas y no hay operaciones en curso se verá afectada por la publicación de estas muestras.
Las muestras Regin
Cargadores de 32 bits
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-bit Rootkit

fe1419e9dde6d479bd7cda27edd39fafdab2668d498931931a2769b370727129
32-bit Orchestrator

e420d0cf7a7983f78f5a15e6cb460e93c7603683ae6c41b27bf7f2fa34b2d935
4139149552b0322f2c5c993abccc0f0d1b38db4476189a9f9901ac0d57a656be
64-bit Loader (Belgacom)

4d6cebe37861ace885aa00046e2769b500084cc79750d2bf8c1e290a1c42aaff

Photo credit: Winfried Rothermel/AP
Anuncios

Acerca de tapanco

Un peatón que camina entre metáforas, código, sueños...convencido de que un paso, hace la diferencia al andar. Lo que nos resta de Patria, debemos defenderla! Para dejarle algo de sustancia de ella a nuestros hijos, algo de su esencia que nosotros disfrutamos un día a carcajadas...
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s