mercoledì 26 novembre 2014

Symantec scopre Regin: sofisticato malware spia in azione dal 2008


Uno strumento di spionaggio avanzato, Regin mostra un grado di competenza tecnica rara ed è stato utilizzato in operazioni di spionaggio contro governi, operatori di infrastrutture, aziende, ricercatori e privati. Lo ha scoperto nei mesi scorsi la società specializzata in sicurezza Symantec. Un pezzo avanzato di malware noto come Regin, è stato utilizzato in campagne sistematiche di spionaggio contro una serie di obiettivi internazionali almeno dal 2008. Una backdoor di tipo Trojan, Regin è un pezzo complesso di malware la cui struttura mostra un grado di competenza tecnica vista raramente.

Personalizzabile con una vasta gamma di funzionalità a seconda della destinazione (ad esempio per spiare le reti GSM), offre ai propri controllori un framework efficace per la sorveglianza di massa ed è stato utilizzato in operazioni contro organizzazioni governative, operatori di infrastrutture, aziende, ricercatori e per spiare privati. E' probabile che per completare il suo sviluppo ci sono voluti mesi, se non anni, ed i suoi autori hanno fatto di tutto per coprire le sue tracce. Le sue capacità e il livello delle risorse dietro Regin indicano che si tratta di uno dei principali strumenti di cyberespionaggio utilizzati da uno stato-nazione. 

Come indicato in un nuovo whitepaper tecnico di Symantec, Backdoor.Regin è una minaccia multi-scena e ogni fase è nascosta e criptata, con l'eccezione della prima fase. L'esecuzione della prima fase inizia con una catena di decrittografia del dominio e il caricamento di ogni fase successiva per un totale di cinque fasi. Ogni fase individualmente fornisce poche informazioni sul pacchetto completo. Solo con l'acquisizione di tutte le cinque fasi è possibile analizzare e comprendere la minaccia. Regin inoltre utilizza un approccio modulare, che consente di caricare le funzioni personalizzate su misura per il target.

Questo approccio modulare è stato visto in altre sofisticate famiglie di malware, come Flamer e Weevil (The Mask), mentre l'architettura del carico multi-fase è simile a quella vista nei malware Duqu e Stuxnet, insomma, un malware avanzatissimo. Le infezioni Regin sono state osservate in una varietà di organizzazioni tra il 2008 e il 2011, dopo di che è stato bruscamente ritirato. Una nuova versione del malware è riemersa dal 2013 in poi. Gli obiettivi includono aziende private, enti pubblici e istituti di ricerca. Quasi la metà di tutte le infezioni prendono di mira privati ​​e piccole imprese. 

Gli attacchi a società di telecomunicazioni sembrano essere progettati per ottenere l'accesso alle chiamate per essere instradate attraverso la loro infrastruttura. Le infezioni sono anche geograficamente diversificate, essendo stato identificato principalmente in dieci paesi diversi. Il vettore di infezione che varia tra obiettivi e vettori non riproducibili è stato trovato al momento della scrittura. Symantec ritiene che alcuni obiettivi possono essere indotti a visitare versioni contraffatte di siti web ben noti e la minaccia può essere installata tramite un browser Web o sfruttando un'applicazione. 

Su un computer, i file di registro hanno mostrato che Regin ha origine da Yahoo! Instant Messenger attraverso un non confermato exploit. Regin utilizza un approccio modulare, dando flessibilità agli operatori della minaccia in quanto possono caricare le funzioni personalizzate su misura per singoli obiettivi quando richiesto. Alcuni carichi personalizzati sono molto avanzati e presentano un elevato grado di competenza in settori specialistici, un'ulteriore prova del livello delle risorse disponibili per gli autori di Regin. Ci sono decine di carichi Regin e non ci sono dubbi che il malware abbia fatto enormi danni. 

La capacità standard della minaccia comprende diverse funzioni Remote Access Trojan (RAT), come catturare screenshot, prendere il controllo delle funzioni di point-and-click del mouse, rubare le password, monitoraggio del traffico di rete, e recuperare file cancellati. Sono stati scoperti altri moduli specifici e avanzati payload, ad esempio un monitor del traffico web del server Microsoft IIS e uno sniffer del traffico dei controllori delle stazioni di base delle amministrazioni di telefonia mobile. Gli sviluppatori di Regin hanno dedicato un notevole sforzo che lo rende altamente poco appariscente.

La sua bassa natura della key significa che può potenzialmente essere utilizzato nelle campagne di spionaggio della durata di diversi anni.  C'è anche chi crede sia stato diffuso via posta elettronica. Anche quando viene rilevata la sua presenza, è molto difficile stabilire cosa esso sta facendo. Symantec è riuscito ad analizzare i carichi dopo aver decriptato file di esempio. Secondo il Symantec Security Responce il malware ha diverse caratteristiche "stealth". Questi includono le funzionalità anti-forensics, un file system virtuale criptato su misura (EVFS), e crittografia alternativa sotto forma di una variante di RC5, che non è comunemente usata. 

Regin utilizza più mezzi sofisticati per comunicare segretamente con l'attaccante anche attraverso ICMP/ping, incorporando comandi cookie HTTP, e protocolli TCP e UDP personalizzati. Regin è una minaccia altamente complessa che è stato utilizzata in campagne sistematiche di raccolta dati o raccolta di informazioni. Lo sviluppo e il funzionamento di questo malware avrebbe richiesto un notevole investimento di tempo e risorse, ciò indica la responsabilità di uno stato nazionale. Il suo design lo rende particolarmente adatto per operazioni di sorveglianza persistente, a lungo termine contro obiettivi. 

La scoperta dei Regin highlights evidenzia come continuano ad essere fatti significativi investimenti nello sviluppo di strumenti di intelligence per la raccolta di dati sensibili. Symantec ritiene che molti dei componenti di Regin rimangono tuttora funzionalità da scoprire e possono esistere versioni supplementari. Ulteriori analisi continuano e Symantec pubblicherà tutti gli aggiornamenti sulle future scoperte. Gli indicatori di compromissione per gli amministratori di sicurezza e informazioni più dettagliate e tecniche si possono trovare nel documento Regin: Top-tier espionage tool enables stealthy surveillance.


Nessun commento:

Posta un commento