Gracias al trabajo de expertos de seguridad de todo el mundo el descubrimiento y eliminación de bugs de seguridad, virus y otro malware es relativamente rápido, sobre todo en esta era de Internet en la que la información cruza el mundo en segundos; por eso por muy gordo que sea el ataque los usuarios casi siempre estamos a salvo solo con actualizar al momento. Sin embargo, también hay casos, muy raros, en los que cuando el vector de ataque ha sido descubierto ya es demasiado tarde, y ahora Symantec ha anunciado que ha dado con uno de estos casos.

Un espía muy competente

Regin, que es como se llama el troyano descubierto, lleva funcionando como mínimo desde el 2008 (o incluso antes), toda una eternidad en el sector. No solo eso, sino que todo lo que se ha averiguado al respecto indica que no se trata de un programa creado por aficionados sino que es un arma realmente poderosa, de ahí que haya permanecido en la sombra seis años. Se calcula que para su desarrollo se invirtieron meses o incluso años de trabajo, un proyecto que necesita una financiación y un conocimiento que no tiene cualquiera; además, su estructura y funcionamiento tiene semejanzas con otros ejemplos de malware desarrollado por países. Con todos estos datos, Symantec llega a la conclusión de que se trata de un troyano desarrollado por una agencia gubernamental de algún país con el objetivo de espiar.

regin-1

¿Y cómo ha conseguido pasar desapercibido hasta ahora? Su estructura en cinco capas tiene buena parte de culpa, de las que solo la primera no está cifrada; el resto es un laberinto que solo podemos recorrer si hemos completado la etapa anterior. Cada capa desbloquea la siguiente, y hasta que los investigadores no “conquistaron” las cinco capas no supieron contra qué se enfrentaban. En las diversas capas hay código para tomar capturas de pantalla, tomar el control del ratón, obtener contraseñas, o capturar el tráfico de la red; no solo eso sino que su diseño modular permite el desarrollo de mas funciones, personalizando el ataque.

Se calcula que Regin está presente principalmente en Rusia y Arabia Saudí, aunque también hay infectados en Europa; el 48% de los ordenadores infectados (solo sistemas Windows) pertenecen a ciudadanos normales y a pequeñas empresas, por lo que no queda claro su propósito; además por el momento solo se han descubierto 100 infecciones, una cifra demasiado baja para lo que es capaz de hacer, por lo que hay dos posibilidades: o todavía no se han descubierto, o es una herramienta especializada para atacar objetivos concretos y no para soltarla en la red.

Fuente | Symantec | Ars Technica