Regin Malware vinculado a ataques contra o Belgacom, conhecido como criptógrafo

Regin é conhecido há anos por empresas de segurança, mas o white paper da Symantec sobre o malware levou vários no último dia a apresentar o que eles sabem.

Não está claro por que as empresas de segurança mantiveram um silêncio coletivo sobre a Regin por tanto tempo. A Symantec disse ter descoberto o Regin há cerca de um ano e que a empresa levou muito tempo para analisá-lo.

[Leia mais: Como remover malware do seu PC Windows]

Em um dia do relatório da Symantec, rival Kaspersky O laboratório publicou um white paper de 28 páginas, indicando que a empresa estava bem preparada para quando Regin se tornou público.

A plataforma Regin é considerada altamente sofisticada devido ao uso de criptografia e componentes modulares, o que a torna mais sofisticada. difícil para os analistas descobrirem.

Foi usado contra empresas de telecomunicações, ISPs, pequenas empresas e indivíduos, com o objetivo de coletar credenciais de login e dados sensíveis, incluindo a infiltração de estações de base GSM. A Symantec informou que muitos dos alvos estavam na Rússia e na Arábia Saudita.

A Intercept informou na segunda-feira que foi Regin que atacou a empresa de telecomunicações Belgacom e foi usada contra alvos da União Européia. A publicação disse que sua conclusão é baseada em uma análise técnica do malware e fontes que investigaram esses ataques.

Documentos vazados pelo ex-contratado da Agência de Segurança Nacional dos EUA Edward Snowden indicaram que a Belgacom foi alvo da agência de inteligência britânica Government Communications Headquarters (GCHQ). ) como parte da Operação Socialista, de acordo com Der Spiegel

Os documentos de Snowden revelaram muitos métodos de ataque e alvos da NSA e do GCHQ, que realizaram operações de coleta de dados sofisticadas e extensas.

porta-voz da NSA Vanee M. Vines A Kaspersky Lab escreveu na segunda-feira que obteve uma amostra de malware que infectou o computador de Jean Jacques Quisquater, um conhecido criptógrafo belga que disse que sua agência não comentou a "especulação" do The Intercept. O computador foi alvo de um ataque sofisticado.

Quisquater disse ao IDG News Service em fevereiro que os investigadores da Fede Belga A Unidade de Crime Informático (FCCU) disse a ele que o ataque contra seu laptop estava diretamente relacionado ao incidente da Belgacom.

“Conseguimos obter amostras do caso Quisquater e confirmar que elas pertencem à plataforma Regin”, segundo Kaspersky. white paper.

Ronald Prins, da Fox-IT, uma empresa de computação forense, disse ao The Intercept que sua empresa investigou os ataques contra a Belgacom. Prins disse à publicação que Regin foi o malware mais sofisticado que ele já estudou e que estava "convencido" de que era usado pelos serviços de inteligência dos EUA e do Reino Unido.

Outras empresas de segurança de computadores foram menos diretas sobre o criador de Regin. A Symantec sustentou que acreditava que Regin tinha uma engenharia tão inteligente que deveria ter sido desenvolvida por um Estado-nação, mas não chegou a dar nome a um. Em um comunicado divulgado na segunda-feira, a Symantec afirmou que não encontrou identificadores em Regin. código que indica sua origem e que “não temos evidência suficiente para atribuí-lo a qualquer estado ou agência em particular”.

A empresa finlandesa de segurança de computadores F-Secure viu uma versão inicial do Regin em 2009 e também evitou nomear Antti Tikkanen, diretor de resposta de segurança da F-Secure Labs, escreveu em um post no blog: “Acreditamos que esse malware, para variar, não vem da Rússia ou da China.”

A F-Secure encontrou o Regin em um servidor gerenciado por um de seus clientes no norte da Europa. O servidor estava ocasionalmente travando e mostrando a Tela Azul da Morte, escreveu Tikkanen. A causa foi um driver que acabou sendo um rootkit e uma versão antiga do Regin.

Mikko Hypponen, diretor de pesquisas da F-Secure, escreveu no Twitter que a F-Secure acrescentou detecção para Regin, mas não escreveu sobre isso publicamente devido a preocupações com confidencialidade do cliente.

Hypponen sustentou que a F-Secure acrescentou detecção para Regin em seus produtos e que “nenhum cliente (e nenhum governo) nos pediu para não adicionar detecção em algum malware específico.”

A Microsoft também adotou o Regin, adicionando uma entrada para uma variante em seu banco de dados de malware em 9 de março , 2011. A entrada, no entanto, não contém dados técnicos.