lunes, diciembre 01, 2014

Regin: Plataforma de ciberespionaje que controla GSM

Esta semana pasada la noticia a destacar ha sido la aparición de Regin, una de esas ciberarmas que son atribuidas a grupos de espionaje controlados por gobiernos, debido a la complejidad técnica de los mismos exige de un presupuesto, unas habilidades, y la capacidad de tener un desarrollo a largo plazo que no siempre está disponible para cualquier enemigo. Es del tipo de software que da sentido a la A de A.P.T. (Advanced Persistent Threat) y por eso merece que todos los que trabajan en la industria de la seguridad se paren a analizarlo cuando aparece la oportunidad de diseccionar alguna muestra.

Figura 1: Regin, una plataforma de ciberespionaje que controla GSM

Según el informe de Kaspersky sobre Regin, hablar de un malware en concreto sería impreciso, ya que el número de módulos es grande y la arquitectura compleja y distinta para cada versión del sistema operativo, así que parece más una familia de productos modular que se mantiene y evoluciona. Todas para plataformas Microsoft Windows.

Figura 2: Descripción de la familia de Regin y el flujo de fases

Las fases de infección de Regin

Como puede verse en este gráfico de Symantec, el software de espionaje funciona en fases y para evitar ser detectado en todo momento, cada vez que se va a pasar de una fase a otra el código necesario que se va a ejecutar se descifra y se ejecuta. Lo único que no se conoce aún es cómo se distribuye y comienza la infección.

Figura 3: Fases de infección. Todos los módulos van cifrados

Además, nunca se guardan los datos que se van a utilizar a la vista, así que utilizan en las versiones de 32 bits los Atributos Extendidos de NTFS o en el Registro de Windows, mientras que en los sistemas operativos de 64 bits se guardan en espacio sin utilizar en el tabla de ficheros, para que no se pudieran localizar. Ahí se guardan los datos, como se ha dicho cifrado.

Figura 4: Certificados falsos usados por Regin para instalarse

Después, el sistema se carga en las plataformas de 32 bits al estilo de los rootkits como una driver firmado por unos certificados falsos suplantando a Microsoft, para lo que también instalan en el almacén de Entidades de Certificación de Confianza la clave pública de la emisora del falso certificado. En los sistemas operativos de 64 bits se queda funcionando en User Mode, debido a la arquitectura de seguridad de los sistemas operativos Windows y el programa de drivers firmados a partir de Windows Vista y el Secure Boot para evitar Bootkits.

Figura 5: Algunos de los módulos que lleva Regin. Son decenas los que tiene.

A partir de ese momento se cargan los módulos, como plugins, dentro de un sistema de ficheros virtual en el que se gestiona el almacenamiento del código de cada uno de ellos para permanezca cifrado y lejos de los ojos de cualquier analista forense que esté mirando el disco.

Los Módulos de Regin para espiar GSM

Mirando la lista de plugins que tiene disponible esta plataforma de ciberespionaje hay para todo. Desde utilidades de sniffing, de gestión de funciones del equipo de red, de cracking de credenciales, de uso de WinSockets para interceptar conexiones, hasta quizá una de las más llamativas, el control de estaciones de telefonía GSM con comandos BTS.

Figura 6: Regin tiene módulos para comunicaciones GSM

Alguien que controle una estación BTS podría hacer todos los ataques que se describen en el libro de Hacking de Comunicaciones Móviles, como interceptación de llamadas, suplantación de números de teléfono, o ataques de man in the middle en tráfico de datos que circule por la estación. Esta potencia de poder interceptar el tráfico de las comunicaciones GSM ya hace tiempo que despertó el interés del mundo del espionaje. Se podrían configurar para que fueran sin cifrado y los terminales móviles más modernos no lo detectarían, se podría interceptar el envío de mensajes SMS que fueran con códigos OTP, se podrían capturar las llamadas e incluso hacer ataques dirigidos.

Figura 7: Estructura de una red GSM con conexión a Internet

Según reportan en el informe, parece ser que una de las víctimas era una operadora de telecomunicaciones y que desde un equipo infectado de la red de ordenadores estaban controlados por un equipo infectado por Regin. En la siguiente captura se pueden ver comandos de comunicación con una estación BTS.

Figura 8: Comandos GSM descubiertos en módulos descifrados de Regin

En el pasado hemos visto como han aparecido estaciones base falsas por diferentes lugares de Estados Unidos e incluso recientemente hemos visto acusaciones de que se estaban utilizando estaciones base en los aviones para espiar determinadas zonas de Estados Unidos.

Figura 9: Programa de espionaje con fake BTS del Departamento de Justicia. Publicado en WSJ

Con este tipo de programas, sería posible realizar ataques dirigidos a números de teléfono concretos conocidos, por ejemplo de fugitivos en fuga o de objetivos localizados.

Los Metadatos en la atribución

Una vez más, la atribución de quién puede estar detrás de este tipo de plataformas de ciber-espionaje de la - que parece está viva desde el año 2003 - sigue siendo una de las grandes cuestiones. Los paneles de control que se descubrieron en algunas de las muestras estaban en China e India, pero lo más curioso es el estudio de que se ha hecho de los metadatos para poder averiguar la franja horaria en la que están creados los archivos.

Figura 10: Fechas de desarrollo de Regin sacadas de los metadatos

El análisis se ha hecho mirando algunas cosas tan curiosas como las fechas de los ficheros firmados digitalmente - como buscamos hacer nosotros para intentar localizar la ubicación de los creadores de apps maliciosas en nuestro sistema Path 5 y que por supuesto usamos para analizar ShuaBang Botnet.

Figura 11:Países atacados por Regin según Kaspersky

Al final, como siempre, nada es 100% seguro en términos de atribución e incluso los casos que parecen más claros, como el de Stuxnet o el de APT1, siempre son negados ad infinitum por quien es señalado con el dedo, pero lo que sí parece claro son quiénes han sido los objetivos conocidos hasta ahora.

Saludos Malignos!

1 comentario:

Soy George Maldonado dijo...

Desde 2003, eso es mucho tiempo, deben haber sacado mucho "PROVECHO" de Regin.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares