Symantec y Kaspersky han donat a conéixer este malware i ambdós companyies coincidixen en la seua sofistificació i avançades capacitats que van molt més lluny de tot allò que s’ha conegut fins ara.

Encara que Regin és un malware multipropòsit, la seua principal intenció és la recopilació d’intel·ligència i recollida de dades sobre diferents objectius que inclouen operadors de telecomunicacions, institucions governamentals, òrgans polítics multinacionals, institucions financeres, institucions d’investigació i inclús investigadors concrets especialitzats en criptografia i matemàtiques avançades.

Encara que principalment és un malware destinat al robatori d’informació, té la capacitat de carregar funcions personalitzades en funció de cada objectiu individual. Té la capacitat d’instal·lar un gran nombre de payloads addicionals, que inclouen moltes característiques de troians d’accés remot (com realitzar captures de pantalla o prendre el control del ratolí). També és capaç de robar contrasenyes, monitoritzar el tràfic de xarxa, i recuperar informació sobre els processos i utilització de la memòria. Pot buscar arxius eliminats del sistema i recuperar el seu contingut. També s’han trobat mòduls molt específics per a objectius molt concrets. Com a mòduls dissenyats per a monitoritzar el tràfic de xarxa de servidors IIS, o per a arreplegar el tràfic d’administració de controladors d’estacions base de telefonia mòbil o per a analitzar el correu en bases de dades Exchange.

El nivell de sofisticació i complexitat d’este malware fa pensar que el desenrotllament d’esta amenaça hauria necessitat un bon equip de desenvolupadors durant molt de temps (mesos i inclús anys) per al seu desenrotllament i manteniment. El seu funcionament va molt més lluny de tot allò que s’ha vist fins al moment, no és un simple troià per a la captura de credencials bancàries, no és una peça de malware que busque obtindre beneficis monetaris immediats. Tot això que fa pensar que darrere de Regin es troba un estat o govern, i encara que no hi ha cap evidència que demostre esta suposició algunes fonts indiquen un ús conjunt dels Estats Units i Regne Unit.

Es desconeix quan es van crear i van propagar les primeres mostres de Regin, no obstant això Kaspersky identifica algunes mostres datades en 2003. Encara que pareix que hi ha múltiples versions de Regin, se'n donen dos versions com a principals. La 1.0 que va estar en ús fins a 2011 i una nova versió 2.0 que va començar a usar-se el 2013.

El nom de Regin és un gir sobre "In Reg", una forma acurtada per a dir en el registre ("In registry"). Fent al·lusió a una forma que té el malware d’emmagatzemar els seus mòduls en el registre. Este nom apareix per primera vegada al març de 2011.

Quelcom que tampoc està molt clar i que no ha sigut possible reproduir és el mètode exacte per al compromís inicial, la forma en què es du a terme la infecció. Hi ha diverses teories, que inclouen l’ús d’atacs home en el medi amb exploits 0-day en el navegador o en alguna altra aplicació.

Regin actua en cinc etapes diferents. La primera etapa actua com a llançador, l’arxiu que provoca la infecció i que no és possible determinar com arriba al sistema de la víctima. Esta és l’única part de codi que roman visible en el sistema, a partir d’este moment totes les etapes successives i mòduls es guarden en el disc dur com a Atributs ampliats NTFS, com a entrades de registre o en una forma de sistema d’arxius virtual xifrat.

Una vegada que s’instal·la i executa la primera etapa s’encarrega de descarregar la segona etapa. D’esta manera cada etapa descàrrega i instal·la la següent etapa. Així el malware es va carregant a poc a poc i roman ocult. El comportament és diferent en sistemes 32 bits i 64 bits, amb etapes i mòduls diferents en funció de la plataforma.

Actualment, Symantec i Kaspersky situen les víctimes en els països següents: Algèria, Afganistan, Aràbia Saudita, Àustria, Bèlgica, Brasil, Fiyi, Alemanya, Iran, Índia, Indonèsia, Irlanda, Kiribati, Malàisia, Mèxic, Pakistan, Rússia i Síria.

Més informació:

Regin: Top-tier espionage toolenables stealthy surveillance
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

The Regin platform Nation-state ownage of GSM networks
http://securelist.com/files/2014/11/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf

Alert (TA14-329A) Regin Malware
https://www.us-cert.gov/ncas/alerts/TA14-329A