Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Por qué tardaron tanto en descubrir el malware Regin?

El descubrimiento de Regin, después de más de cinco años después de haber sido liberado, resalta la necesidad de mejores métodos de detección.

El descubrimiento del malware Regin por parte de Symantec Inc., que forma parte de una campaña de ciberespionaje a largo plazo patrocinada por a nivel gubernamental, ya ha sido comparado con sus similares Stuxnet y Flame, dos de las piezas más sofisticadas de malware que se han creado. Si bien la experiencia necesaria para crear Regin es incuestionable, observadores de la industria de seguridad dicen que Regin demuestra una vez más que más organizaciones y vendedores deben centrarse en la detección de amenazas en lugar de la prevención.

El análisis técnico de Regin que hizo Symantec, publicado la semana pasada, expone una plataforma de malware que es a la vez potente y altamente personalizable. La primera versión de Regin se utilizó por lo menos desde 2008 hasta 2011, según el análisis de Symantec, mientras que una segunda versión fue descubierta en 2013.

Como una plataforma de software malicioso modular, Regin contiene un número de componentes que dependen unos de otros para funcionar. Este diseño permite a los atacantes desplegar una serie de diferentes cargas útiles en función de objetivos y situaciones específicas. Symantec dijo que la arquitectura de carga de varias etapas, que es similar a la de Stuxnet y Duqu, hace que sea difícil analizar Regin ya que no todos los componentes del software malicioso estaban disponibles al mismo tiempo.

Y a diferencia de muchas otras amenazas persistentes avanzadas (APT), que se centran típicamente en la recopilación de valiosa propiedad intelectual, el artículo de Symantec indica que Regin es único, ya que está dirigido a recoger una variedad de datos no específicos y vigilar a las personas u organizaciones por períodos prolongados.

"Regin es una pieza compleja de malware cuya estructura muestra un grado de competencia técnica pocas veces visto", escribió el equipo de respuesta de seguridad de Symantec en un blog. "Es probable que su desarrollo tomara meses, si no es que años, para completarse y sus autores han hecho todo lo posible para cubrir sus pistas."

Regin: ¿Quién es el responsable?

Las infecciones de Regin han alcanzado en gran medida a organizaciones en Rusia y Arabia Saudita, con menos de un puñado de países occidentales entre las víctimas. La ubicación de los objetivos ha llevado a muchos observadores de la industria a enlazar Regin con las operaciones llevadas a cabo por los gobiernos de Estados Unidos y de Israel, los cuales también fueron citados como responsables de los ataques Stuxnet contra las instalaciones nucleares de Irán, aunque ninguno de estos gobiernos ha asumido la responsabilidad.

Nueva evidencia surgió el lunes respecto a que Regin pudo haber sido utilizado por las agencias de inteligencia de Estados Unidos y del Reino Unido desde 2010. Fugas anteriores dadas a conocer por el ex contratista de la NSA, Edward Snowden, vincula a la Sede de Comunicaciones del Gobierno de Gran Bretaña con una misión encubierta denominada Operación Especialista, dirigida contra la empresa de telecomunicaciones Belgacom, con sede en Bélgica, con un código malicioso que permitió a los agentes recopilar datos sobre los clientes de la compañía y las comunicaciones corporativas internas.

El malware utilizado en contra de Belgacom, que era desconocido en el momento, más tarde fue identificado como el mismo que se vió en las operaciones que la NSA realizó contra varios países de la Unión Europea. Ronald Prins, fundador y director de tecnología de la consultora holandesa Fox-IT Security, la empresa encargada de la limpieza del malware en las redes de Belgacom, dijo en una entrevista con la The Intercept de que el malware es el más sofisticado que jamás había encontrado, y llegó a conclusiones respecto a sus creadores.

"Después de haber analizado este malware y haber visto los documentos de Snowden, estoy convencido de que Regin es utilizado por los servicios de inteligencia británicos y estadounidenses", dijo Prins a The Intercept.

Cómo evitó Regin ser detectado

Regin se destaca no sólo por su conjunto de características sofisticadas, sino también por permanecer sin ser detectada previamente durante al menos media década. Así que, ¿cómo fue el malware capaz de mantenerse fuera de los radares de los vendedores y profesionales de seguridad, algunos de los cuales se encargan específicamente de búsqueda y análisis de tales amenazas?

Aunque Symantec anunció por primera vez la existencia de Regin la semana pasada, Big Yellow, Microsoft y F-Secure todos admiten que identificaron algunos de los componentes de Regin desde 2009, llevando a algunos a especular qué tanto los proveedores de antimalware deliberadamente optaron por no revelar Regin al público o que durante mucho tiempo simplemente no sabían lo que tenían.

Mark Gazit, CEO de la firma de protección de infraestructuras ThetaRay, con sede en Israel, dijo que la infraestructura de comando y control (C&C) de Regin fue clave para evitar la detección. Regin se basó en los canales de comunicación legítimos, tales como comandos incrustados en cookies HTTP así como en protocolos personalizados TCP y UDP, señaló Gazit, los cuales benefician a los atacantes que tratan de ocultar actividades maliciosas. Una organización tendría que ser capaz de ver todas las características de los datos y analizarlos simultáneamente para determinar que algo andaba mal.

“Es ingenuo pensar que estas herramientas no serían fácilmente enfocadas a un nuevo propósito o desplegadas contra nuestros aliados, o incluso contra líderes individuales de negocios, objetivos políticos o ciudadanos.”

 – Chris Messer

Igual de importante, Gazit dijo que la naturaleza modular de Regin ayudó a evitar la detección de cómo los atacantes detrás de él podrían personalizar el software malicioso a objetivos específicos. Mientras que muchos productos de seguridad todavía dependen de firmas para la detección, incluso las pequeñas modificaciones en el código de malware pueden ayudar esquivar las tecnologías en las que muchas organizaciones se basan para detectar ataques.

"Esta modularidad explica además por qué la seguridad off-the-shelf no expuso a Regin", dijo Gazit. "El hecho de que los ataques estén evolucionando en su complejidad es preocupante y hace un llamamiento a la innovación para conceptualizar nueva seguridad que pueda descubrir ataques complejos como Regin en cuestión de minutos, en lugar de meses o años."

Ian Amit, vicepresidente de la startup de seguridad ZeroFox, con sede en Baltimore, señaló a la arquitectura tipo "muñecas rusas" de Regin como una forma en que el software malicioso fue capaz de mantenerse oculto en las redes de las organizaciones. Regin empleó un total de seis etapas, sin incluir un cuentagotas, aún sin identificar, para infectar máquinas específicas. Las etapas iniciales sirven para extraer, instalar y ejecutar drivers del kernel para la tercera etapa, durante la cual se exporta la funcionalidad real de Regin.

La carga útil principal del malware no se carga hasta su quinta etapa, lo que significa que la infección inicial puede tener lugar mucho antes. Amit añadió que el uso de cifrado por el autor de Regin para las múltiples etapas del despliegue también pone en desventaja la seguridad de punto final y de otras tecnologías de detección.

"Regin pone de relieve la necesidad de mejorar la seguridad operacional en el marco de [enfocar] la gestión de riesgo organizacionales", dijo Amit por correo electrónico. "Tanto la capacidad de minimizar las superficies de ataque que aprovechan el factor humano y la capacidad de monitorear los cambios durante un largo período de tiempo son fundamentales para hacer frente a las amenazas persistentes".

Regin: ¿Una preocupación para las empresas?

Mientras que el malware se ha utilizado contra agencias gubernamentales en países como Rusia, Arabia Saudita y México, los expertos advirtieron que Regin –o al menos algunos de sus elementos– podrían abrirse camino a más países occidentales en el futuro.

Chris Messer, vicepresidente de tecnología de Coretelligent, con sede en Needham, Mass., dijo que aunque en este momento Regin no representa una amenaza para el gobierno de Estados Unidos o de empresas con sede en los Estados Unidos, el malware siempre podría estar sujeto ingeniería inversa por otros países y ser utilizado para robar información sensible.

"Es ingenuo pensar que estas herramientas no podrían ser fácilmente re-utilizadas o re-desplegadas en contra de nuestros aliados", dijo Messer, "o incluso en contra de líderes individuales de negocios, objetivos políticos o ciudadanos."

Gazit de ThetaRay coincidió en que Regin podría sufrir ingeniería inversa por atacantes capaces de cortar y pegar sus propios módulos en la plataforma, aunque los "hackers promedio y los cibercriminales" probablemente serán poco ser capaz de entender el sofisticado código en el momento.

Sin embargo, muy parecido a lo que sucedió al descubrir a Stuxnet y Flame, Gazit dijo que con el tiempo las características individuales podrían desmenuzarse en kits de exploits de uso común. Una de estas características, añadió Gazit, es el método utilizado por Regin para infectar. Para descargar módulos en un sistema infectado, Regin crea una sencilla puerta trasera y luego conecta a los usuarios a una página falsa de LinkedIn, lo cual no daría lugar a las alarmas de seguridad en la mayoría de las organizaciones. Regin entonces puede descargar una carga útil de la página maliciosa.

"Para los ciberdelincuentes, ver altas tasas de conversión, como en las máquinas que implementan la infección correctamente, siempre es un juego de números que se esfuerzan por mejorar", dijo Gazit. "Así que este sería el tipo de característica Regin que probablemente traten de mejorar en sus propios códigos."

Extracto del white paper de Symantec sobre Regin

"Regin tiene una arquitectura de seis etapas. Las etapas iniciales implican la instalación y configuración de los servicios internos de la amenaza. Las últimas etapas integran al juego las principales cargas de trabajo de Regin. En esta sección se presenta una breve descripción del formato y el propósito de cada etapa. Las etapas más interesantes son los ejecutables y archivos de datos almacenados en las Etapas 4 y 5. El conductor inicial de la Etapa 1 es código plano sólo claramente visible en el equipo. Todas las demás etapas se almacenan como gotas de datos cifrados, como un archivo o dentro de un área de almacenamiento de archivos no tradicionales, tales como el registro, los atributos extendidos, o sectores primarios al final del disco."

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close