Backdoor Regin, com a investigadors de l'empresa de seguretat Symantec s'estan referint al troià, (ja que té certa semblança amb el malware que recentment ha estat descobert) incloent els troians d'espionatge coneguts com The Flame i Duqu, així com Stuxnet, el cuc informàtic i troià que va ser programat per interrompre el programa nuclear de l'Iran. És probable que es requereixin mesos o anys per completar-lo, ja que contenia dotzenes de mòduls individuals que van permetre als seus operadors poder adaptar el programari maliciós als objectius individuals.
Per seguir essent cautelós, el malware s'organitza en cinc etapes, cadascuna de les quals es xifra, a excepció de la primera. L'execució de la primera etapa desencadena un efecte dòmino mitjançant el qual la segona etapa es desxifra i s’executa, de manera que a la vegada desxifra la tercera etapa, i així successivament. Analitzar i comprendre el malware requereix als investigadors adquirir les cinc etapes. Regin conté dotzenes de càrregues útils, incloent el codi de captura de pantalles, de manera que pren el control del ratolí d'un ordinador infectat, el robatori de contrasenyes, el seguiment del trànsit de xarxa i la recuperació d'arxius esborrats. Altres mòduls semblen estar adaptats a objectius específics. Un d'aquests, inclou codi per monitoritzar el trànsit d'un servidor Microsoft IIS. Un altre té com a objectiu esnifar el tràfic de controladors d'estacions de base de telefonia mòbil.
Els investigadors de Symantec creuen que Regin era un programa extens que va ser utilitzat en múltiples campanyes, possiblement anys abans. Liam O'Murchu, gerent d'operacions de Symantec Security Response, va dir a Ars que la llista de mòduls que s'utilitzen contra un objectiu, sovint era únic, una indicació que es va utilitzar Regin en diverses campanyes.
En essència, el que s'està veient son diferents campanyes on, en una infecció, necessitava llegir el seu teclat, mentre que en una altra l’infectava. La intenció era agafar el nom d'usuari i la contrasenya de l'administrador, connectat a un controlador d'estacions base.
Mentre que gairebé la meitat de les computadores, se sap que estan infectats per Regin dins dels proveïdors de serveis d'internet, Symantec creu que van ser atacats de manera que els operadors podrien espiar clients específics que utilitzaven els ISPs. De la mateixa manera, els proveïdors de xarxa troncal de telecomunicacions, que en un 28 % va representar la segona major categoria dels equips infectats, probablement van ser triats per atacants, els quals podien tenir accés a les trucades que es van fer servir a través de la seva infraestructura.
Encara hi ha moltes coses que Symantec no sap de Regin. Fins ara, els investigadors de la companyia són conscients de només unes 100 infeccions, un nombre que sembla petit per a un marc extens de malware. Els investigadors encara han de descobrir el sistema de comandament i control que els atacants utilitzen per comunicar-se amb els ordinadors infectats. El malware és conegut per haver estat actiu des de 2008 i fins a 2011, quan va ser llençat pels seus operadors per raons desconegudes. Regin, que és el nom que Microsoft ha assignat al troià, va ressorgir el 2013.
Cap comentari:
Publica un comentari a l'entrada
Aquest és un blog amb moderador dels comentaris. Per tant, no apareixen immediatament