El malware Regin de NSA ha vuelto a hacer saltar las alarmas en Alemania

Share this…

Parece que Angela Merkel no es el único político alemán que ha sido vigilada por la Estados Unidos o por cualquiera sus aliados conocidos. El jefe de una unidad de la Cancillería General supuestamente ha sufrido una infección en su portátil con Regin, un programa de ciberespionaje que se cree que usa la NSA y sus socios de inteligencia más cercanos.

Desde las autoridades alemanas se ha abierto una investigación sobre este ataque, que salió a la luz en 2014, según ha informado la publicación Der Spiegel. Para quienes no lo sepan, la Cancillería es la agencia federal que trabaja para la oficina de nuestra querida amiga Merkel.

A muchos de vosotros probablemente os sonará de poco esto de Regin, así que vamos a intentardefinir este malware con algo de profundidad antes de seguir adelante.

¿Qué es el malware Regin?

Aparte de ser un programa usado en ciberespionaje, Regin es uno de los malwares más sofisticados que existen. Se compone de más de 75 módulos que activan un amplio rango de funcionalidades, que van desde el robo de contraseñas, pasando por capturar tráfico de una red, capacidad de tomar capturas de pantalla, recuperar archivos borrados y terminando con la filtración de datos. Casi nada.

Regin fue descubierto en noviembre de 2014 por Symantec y Kaspersky Lab, y sus blancos son, fundamentalmente, ordenadores que ejecutan Windows —tranquilo, si no tienes un cargo muy alto en la Administración no les interesas—. Kaspersky dijo que sabía de la existencia de Regin desde la primavera de 2012, pero la primera mención de este malware se encontró en 2011 en VirusTotal. Hay otros informes que señalan que la existencia de Regin data de 2003.

También te puede interesar: Regin, el spyware de los servicios secretos de EE.UU. y Reino Unido

De acuerdo con informes elaborados por distintas firmas de seguridad, Regin se usa para espiar a ISPs, operadores de red troncal de telecomunicaciones, empresas energéticas, líneas aéreas, entidades gubernamentales, institutos de investigación y particulares alrededor del mundo.

WARRIORPRIDE, el origen de Regin

Hay indicios que hablan de que Regin utiliza un método de ataque basado en una plataforma de explotación de una red informática conocida como WARRIORPRIDE en los documentos que filtró Edward Snowden, y que se usa por parte de agencias de inteligencia de Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda —que conjuntamente forman la alianza de inteligencia conocida como Five Eyes—.

Snowden también filtró WARRIORPRIDESnowden también filtró WARRIORPRIDE / RJ editada con licencia CC 2.0

El pasado mes de enero, Der Spiegel habló de un keylogger —un malware que lee las pulsaciones que el usuario hace en el teclado— llamado QWERTY de la miríada de archivos que filtró Snowden, y que desde la publicación pensaban que formaba parte de WARRIORPRIDE. Distintos investigadores de Kaspersky Lab analizaron el programa, y concluyeron que es idéntico a un conocido plugin de Regin, y hasta tenía código que hace referencia a un módulo distinto de dicho malware.

El trabajo de Snowden sigue siendo fundamental

Hace ya tiempo las noticias de que la NSA había intentado espiar el teléfono móvil de Angela Merkeltensaron las relaciones entre Alemania y Estados Unidos. Las autoridades teutonas lanzaron una investigación sobre esto que también se basaron en revelaciones hechas por Edward Snowden, pero después la investigación se abandonó por falta de pruebas concluyentes.

Si Regin es WARRIORPRIDE como parecen indicar lo que sabemos —y es el pensamiento de muchos especialistas en seguridad informática—, la presencia del malware en un ordenador de la Cancillería no es ninguna coincidencia. Sin embargo, dado que la herramienta es utilizada por agencias de inteligencia de cinco países diferentes, identificar al responsable va a ser muy difícil.

 

Fuente:www.malavida.com