{"id":4935,"date":"2014-11-25T08:40:00","date_gmt":"2014-11-25T08:40:00","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=4935"},"modified":"2020-02-26T17:27:03","modified_gmt":"2020-02-26T15:27:03","slug":"regin-apt-la-mas-sofisticada-jamas-analizada","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/regin-apt-la-mas-sofisticada-jamas-analizada\/4935\/","title":{"rendered":"La campa\u00f1a APT Regin es una de las m\u00e1s sofisticadas jam\u00e1s analizadas"},"content":{"rendered":"<p>Casi todos los que se ocupan de campa\u00f1as APT (Advanced Persistent Threat) est\u00e1n hablando de la nueva y sofisticada plataforma de ataque llamada \u201cRegin\u201d (pronunciada como el ex presidente de Estados Unidos Ronald Reagan). La opini\u00f3n general es que Regin ha sido financiada por alg\u00fan gobierno, aunque es imposible se\u00f1alar y culpar a alg\u00fan pa\u00eds en particular.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215958\/APT-Regin-1024x767.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-5307\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215958\/APT-Regin-1024x767.png\" alt=\"APT Regin\" width=\"1024\" height=\"767\"><\/a><\/p>\n<p>Al parecer hay personas y organizaciones que est\u00e1n creando expedientes sobre Regin; por ejemplo Symantec, la semana pasada, public\u00f3 la primera versi\u00f3n de su informe, provocando que otros informes salieran a la luz a\u00f1adiendo resultados a los iniciales. M\u00e1s de una compa\u00f1\u00eda y m\u00e1s de un investigador, <a href=\"https:\/\/threatpost.com\/costin-raiu-on-the-regin-apt-malware\/109548\" target=\"_blank\" rel=\"noopener nofollow\">incluyendo el Global Research and Analysis Team de Kaspersky Lab<\/a>, consideran la campa\u00f1a APT Regin la m\u00e1s sofisticada jam\u00e1s analizada.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Highly-complex malware has secretly spied on computers for years, say researchers <a href=\"http:\/\/t.co\/ip7hkaDBEg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/ip7hkaDBEg<\/a> <a href=\"http:\/\/t.co\/TnHhxZS0C4\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/TnHhxZS0C4<\/a><\/p>\n<p>\u2014 The Verge (@verge) <a href=\"https:\/\/twitter.com\/verge\/status\/536627903623360512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 23, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Seg\u00fan los <a href=\"http:\/\/www.viruslist.com\/sp\/weblog?weblogid=208189035\" target=\"_blank\" rel=\"noopener nofollow\">resultados de Kaspersky Lab<\/a>, los objetivos de la campa\u00f1a APT Regin (Advanced Persistent Threat) son las operadoras de telecomunicaciones, instituciones gubernamentales, cuerpos pol\u00edticos que operan en diferentes pa\u00edses, instituciones financieras y de investigaci\u00f3n y expertos en matem\u00e1ticas y codificaci\u00f3n. Los cibercriminales estuvieron en principio interesados en la recogida de datos sensibles (incluyendo correos electr\u00f3nicos y documentos) para promover el desarrollo de otras operaciones criminales. El grupo de ataque no s\u00f3lo tuvo como objetivo las compa\u00f1\u00edas de telecomunicaci\u00f3n, lo cual es normal, sino tambi\u00e9n un proveedor de GSM, lo cual no es tan normal.<\/p>\n<p>GSM son las siglas en ingl\u00e9s de Global System for Mobile communications, Sistema Global para las Comunicaciones M\u00f3viles. Es un est\u00e1ndar para comunicaciones entre tel\u00e9fonos m\u00f3viles. Lo mejor es pensar en GSM como la segunda generaci\u00f3n (2G) de tecnolog\u00edas de comunicaci\u00f3n m\u00f3vil. El predecesor de las redes 3G y 4G. Sin embargo, <a href=\"http:\/\/www.4gamericas.org\/index.cfm?fuseaction=page&amp;sectionid=265\" target=\"_blank\" rel=\"noopener nofollow\">seg\u00fan informes<\/a>, GSM es el est\u00e1ndar por defecto para redes m\u00f3viles utilizada por la mayor\u00eda de compa\u00f1\u00edas telef\u00f3nicas. Est\u00e1 disponible en m\u00e1s de 219 pa\u00edses o territorios y cubre el 90 por ciento del mercado de telefon\u00eda m\u00f3vil.<\/p>\n<div class=\"pullquote\">Pudieron haber tenido acceso a informaci\u00f3n sobre qu\u00e9 llamadas son procesadas por alg\u00fan m\u00f3vil en particular, luego redirigirlas a otros m\u00f3viles, activar los que est\u00e9n cerca de \u00e9ste y llevar a cabo actividades delictivas.<\/div>\n<p>El equipo de investigaci\u00f3n y an\u00e1lisis global de Kaspersky Lab inform\u00f3 ayer que \u201cla habilidad de este grupo para penetrar y monitorear redes GSM es, tal vez, el aspecto m\u00e1s inusual e interesante de estas operaciones\u201d. \u201cHoy en d\u00eda nos hemos vuelto muy dependientes de redes de tel\u00e9fonos m\u00f3viles que se basan en los protocolos antiguos de comunicaci\u00f3n con poca o sin seguridad disponible para el usuario final. A pesar de que todas las redes GSM tienen mecanismos integrados que permiten a la polic\u00eda el seguimiento de sospechosos, otras personas podr\u00edan beneficiarse de este tipo de mecanismos para lanzar ataques contra usuarios de m\u00f3viles\u201d.<\/p>\n<p>Kaspersky Lab ha dicho que \u201clos cibercriminales han sido capaces de robar credenciales desde un Controlador de Estaci\u00f3n Base GSM (o BSC) interno, perteneciente a un gran empresa de telecomunicaciones que le ha dado acceso a m\u00f3viles de GSM de esa red en particular.\u201d Mi compa\u00f1ero de<a href=\"https:\/\/threatpost.com\/regin-cyberespionage-platform-also-spies-on-gsm-networks\/109539\" target=\"_blank\" rel=\"noopener nofollow\"> Threatpost Mike Mimoso<\/a>, ha dicho que los Controladores de Estaci\u00f3n Base gestionan llamadas mientras se mueven a lo largo de la red m\u00f3vil, distribuyendo recursos y transferencias de datos m\u00f3viles.<\/p>\n<p>Los investigadores de Kaspersky Lab han escrito que \u201cesto significa que se podr\u00eda dar acceso a informaci\u00f3n como qu\u00e9 llamadas son procesadas por alg\u00fan m\u00f3vil en particular, redirigir llamadas a otros m\u00f3viles, activar los que est\u00e9n cerca de \u00e9ste y llevar a cabo actividades delictivas. \u201cPor el momento, los cibercriminales que crearon Regin son de los \u00fanicos capaces de llevar a cabo este tipo de operaciones\u201d.<\/p>\n<p>En otras palabras, los cibercriminales de Regin no solo pueden monitorear metadatos de comunicaciones m\u00f3viles, sino que tambi\u00e9n pueden redirigir las llamadas de un n\u00famero a otro.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Seg\u00fan @Kaspersky, #Regin #APT no solo acecha a las v\u00edctimas habituales sino tambi\u00e9n a un famoso codificador y al est\u00e1ndar de GSM<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FXpr1&amp;text=Seg%C3%BAn+%40Kaspersky%2C+%23Regin+%23APT+no+solo+acecha+a+las+v%C3%ADctimas+habituales+sino+tambi%C3%A9n+a+un+famoso+codificador+y+al+est%C3%A1ndar+de+GSM\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Otro aspecto raro y curioso del grupo de ataque de Regin, es la historia del famoso codificador y matem\u00e1tico belga llamado Jean-Jacques Quisquater. En febrero de este a\u00f1o, se dio a conocer que el ordenador personal de Quisquater hab\u00eda sido atacado seis meses antes. No es inusual que acad\u00e9micos prominentes sean objetivo de ciberataques; sin embargo, el caso de Quisquater fue ligeramente diferente por similitudes entre el ataque dirigido a su m\u00e1quina y un ataque que hab\u00eda sido dirigido a la compa\u00f1\u00eda telef\u00f3nica belga Belgacom.<\/p>\n<p>Este \u00faltimo incidente fue el tema de una <a href=\"https:\/\/threatpost.com\/belgian-telco-belgacom-compromised\/102299\" target=\"_blank\" rel=\"noopener nofollow\">revelaci\u00f3n de Edward Snowden<\/a> reclamando que el ataque hab\u00eda sido orquestado por la NSA (Agencia de Seguridad Nacional) y su correspondiente brit\u00e1nica, GCHQ (Cuartel General de Comunicaciones del Gobierno). Por supuesto, muchos medios de comunicaci\u00f3n han apuntado que estas similitudes indican que la inteligencia de Estados Unidos e Inglaterra han estado detr\u00e1s de estos dos ataques. Ni este blog, ni Kaspersky Lab en general, consignar\u00e1n estas alegaciones, y ha sido informado por un gran n\u00famero de medios de comunicaci\u00f3n.<\/p>\n<p>Como datos importantes de la historia de Quisquater y el hecho de que su objetivo es GSM, la plataforma de ataque Regin es digna de menci\u00f3n por su incre\u00edble sofisticaci\u00f3n t\u00e9cnica. Los cibercriminales\u00a0han creado una puerta trasera para su infraestructura de comando con la finalidad de \u00a0permanecer en las redes de sus v\u00edctimas, pasando desapercibidos. Todo el tr\u00e1fico de comunicaci\u00f3n de las campa\u00f1as ha sido codificado para asegurarse de que los ataques no sean vistos entre los atacantes y su servicio de control, como tambi\u00e9n entre las m\u00e1quinas de las v\u00edctimas y la infraestructura del ataque.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Absolutely #1 coverage of <a href=\"https:\/\/twitter.com\/hashtag\/Regin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Regin<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> espionage campaign, must read to get the whole picture: <a href=\"http:\/\/t.co\/M1pEhnxCRa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/M1pEhnxCRa<\/a> by <a href=\"https:\/\/twitter.com\/KimZetter?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KimZetter<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/536995229501370368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 24, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La mayor\u00eda de las comunicaciones Regin ocurren entre m\u00e1quinas infectadas (tambi\u00e9n conocidas como drones de comunicaci\u00f3n), dentro de la red de la v\u00edctima. Este sistema fue elegido por dos razones: por un lado, permite acceso total a la cantidad de datos que sale de la red hacia un servicio de comando y control. Cuando los datos salen de la red y viajan a una red desconocida, saltan las alarmas. As\u00ed que esta comunicaci\u00f3n dentro de la red P2P (peer-to-peer) hace que sea m\u00e1s dif\u00edcil que los monitores de red se den cuenta de un ataque que est\u00e9 en curso.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/11\/05215957\/Regin-graph-one-1024x640.png\" alt=\"\" width=\"1024\" height=\"640\"><\/p>\n<p>En un pa\u00eds de Oriente Medio, cada una de las redes v\u00edctimas identificadas por Kaspersky Lab se comunica con todas las otras redes por medio de una estructura P2P. La red incluye la oficina del presidente, un centro de investigaci\u00f3n, una red de un centro educativo y un banco. Una de las v\u00edctimas contiene un drone capaz de reenviar los paquetes de datos robados fuera del pa\u00eds hacia el servidor de comando y control localizado en la India.<\/p>\n<p>Los investigadores han escrito que \u201cesto representa un mecanismo de comando y control interesante, que puede pasar inadvertido\u201d. \u201cPor ejemplo, si todos los comandos enviados a la oficina del presidente son enviados a trav\u00e9s de la red del banco, entonces todo el tr\u00e1fico malicioso que es visible desde este sistema administrativo lo ser\u00e1 s\u00f3lo para banco en el mismo pa\u00eds, mientras que el resto del tr\u00e1fico no ser\u00e1 perceptible desde el exterior\u201d.<\/p>\n<p>Regin se compone de\u00a05 fases\u00a0que dan a los cibercriminales un acceso completo a la red de las v\u00edctimas, descargando partes subsecuentes del ataque por cada etapa. Los m\u00f3dulos de la primera fase\u00a0contienen el \u00fanico ejecutable en el ordenador de la v\u00edctima, y est\u00e1n todos firmados con certificados falsos de Microsoft y Broadcom para parecer leg\u00edtimos.<\/p>\n<p>Los productos de Kaspersky detectan m\u00f3dulos de la plataforma Regin como Trojan.Win32.Regin.gen y Rootkit.Win32.Regin. Kaspersky Lab tambi\u00e9n ha dado a conocer un <a href=\"https:\/\/securelist.com\/files\/2014\/11\/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf\" target=\"_blank\" rel=\"noopener\">largo documento t\u00e9cnico <\/a>por si te interesa saber m\u00e1s del tema.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Casi todos los que analizan campa\u00f1as APT  est\u00e1n hablando de la nueva y sofisticada plataforma de ataque llamada \u201cRegin\u201d .<\/p>\n","protected":false},"author":42,"featured_media":4936,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[368,1023,1025,126,22,1024],"class_list":{"0":"post-4935","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apt","9":"tag-greeat","10":"tag-investigacion","11":"tag-kaspersky-lab","12":"tag-malware-2","13":"tag-regin"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/regin-apt-la-mas-sofisticada-jamas-analizada\/4935\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=4935"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4935\/revisions"}],"predecessor-version":[{"id":21735,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/4935\/revisions\/21735"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/4936"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=4935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=4935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=4935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}