{"id":4456,"date":"2014-11-27T18:27:59","date_gmt":"2014-11-27T18:27:59","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=4456"},"modified":"2020-02-26T13:22:26","modified_gmt":"2020-02-26T16:22:26","slug":"regin-apt-uma-campanha-altamente-sofisticada","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/regin-apt-uma-campanha-altamente-sofisticada\/4456\/","title":{"rendered":"Regin APT: uma campanha altamente sofisticada"},"content":{"rendered":"<p>Quase todas as empresas que rastreiam as\u00a0campanhas de amea\u00e7as persistentes avan\u00e7adas (APT) est\u00e3o falando sobre uma nova e sofisticada plataforma de ataque chamadoa \u201cRegin\u201d. O consenso geral \u00e9 que a Regin \u00e9 um servi\u00e7o de intelig\u00eancia do Estado que foi quem a criou, (mas ainda n\u00e3o \u00e9 de conhecimento qual o\u00a0pa\u00eds respons\u00e1vel).<\/p>\n<p>Diversas organiza\u00e7\u00f5es e pessoas est\u00e3o aguardando os registros de Regin \u2013 entre elas a <a href=\"https:\/\/threatpost.com\/costin-raiu-on-the-regin-apt-malware\/109548\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">Equipe de An\u00e1lises e Investiga\u00e7\u00e3o Global da Kaspersky Lab <\/a>\u2013 e chegaram a conclus\u00e3o de que se trata de uma campanha de ataque mais sofisticada. A Symantec foi a primeira em divulgar um relat\u00f3rio sobre este trojan no final de semana passada e, deste ent\u00e3o outras empresas est\u00e3o divulgando suas conclus\u00f5es sobre o assunto.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Highly-complex malware has secretly spied on computers for years, say researchers <a href=\"http:\/\/t.co\/ip7hkaDBEg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/ip7hkaDBEg<\/a> <a href=\"http:\/\/t.co\/TnHhxZS0C4\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/TnHhxZS0C4<\/a><\/p>\n<p>\u2014 The Verge (@verge) <a href=\"https:\/\/twitter.com\/verge\/status\/536627903623360512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 23, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Segundo as<a href=\"https:\/\/securelist.com\/blog\/research\/67741\/regin-nation-state-ownage-of-gsm-networks\/\" target=\"_blank\" rel=\"noopener noreferrer\"> conclus\u00f5es da Kaspersky Lab<\/a>, a campanha de Regin ATP tem como alvo as\u00a0operadoras de telecomunica\u00e7\u00f5es, institui\u00e7\u00f5es governamentais, \u00f3rg\u00e3os pol\u00edticos multi-nacionais e institui\u00e7\u00f5es financeiras e de pesquisa, assim como indiv\u00edduos envolvidos com matem\u00e1tica avan\u00e7ada e criptografia. Os cibercriminosos\u00a0parecem interessados principalmente em recolher informa\u00e7\u00f5es e facilitar outros tipos de ataques. Embora grande parte da informa\u00e7\u00e3o recolhida inclui espionar e-mails e documentos, o grupo tamb\u00e9m direciona o ataque a empresas de telecomunica\u00e7\u00f5es e provedores de servi\u00e7o GSM.<\/p>\n<p>A sigla GSM (Global System for Mobile Communications) significa, em portugu\u00eas, \u00a0Sistema Global para Comunica\u00e7\u00f5es M\u00f3veis. \u00c9 um padr\u00e3o para comunica\u00e7\u00f5es celulares entre telefones m\u00f3veis. A melhor maneira de pensar em GSM \u00e9 como a segunda gera\u00e7\u00e3o (2G) das tecnologias de comunica\u00e7\u00e3o m\u00f3vel, ou seja, o antecessor de redes 3G e 4G. No entanto, <a href=\"http:\/\/www.4gamericas.org\/index.cfm?fuseaction=page&amp;sectionid=242\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">de acordo com os relat\u00f3rios<\/a>, ele\u00a0\u00e9 o padr\u00e3o para redes m\u00f3veis e o mais utilizado pela maioria das empresas de telecomunica\u00e7\u00f5es. Ele est\u00e1 dispon\u00edvel em mais de 219 pa\u00edses e territ\u00f3rios e tem\u00a090% de participa\u00e7\u00e3o no mercado de telefonia m\u00f3vel.<\/p>\n<div class=\"pullquote\">Os cibercriminosos acessaram a informa\u00e7\u00e3o sobre as liga\u00e7\u00f5es\u00a0processadas por uma c\u00e9lula particular e as redirecionava para outras, assim como ativar as c\u00e9lulas vizinhas e realizar outras atividades ofensivas<\/div>\n<p>\u201cA capacidade desse grupo para penetrar e monitorar as redes GSM \u00e9 talvez o aspecto mais incomum e interessante destas opera\u00e7\u00f5es\u201d, disse a Equipe de Investiga\u00e7\u00e3o e An\u00e1lises Global da Kaspersky Lab. \u201cNo mundo de hoje, n\u00f3s nos tornamos muito dependentes de redes de telefonia m\u00f3vel que por sua vez dependem de protocolos de comunica\u00e7\u00e3o antigos com pouca ou nenhuma seguran\u00e7a dispon\u00edvel para o usu\u00e1rio final. Apesar de todas as redes GSM terem mecanismos embutidos que permitem que entidades, como a pol\u00edcia, rastrear criminosos suspeitos, h\u00e1 outras entidades que ganham vantagem com isso e\u00a0lan\u00e7am outros tipos de ataques contra usu\u00e1rios m\u00f3veis. \u201d<\/p>\n<p>A Kaspersky informou que os cibercriminsos roubaram as credenciais de um controlador de esta\u00e7\u00f5es base GSM interno pertencente a um grande operador de telecomunica\u00e7\u00f5es que lhes deu acesso a c\u00e9lulas GSM dessa\u00a0rede em particular. Nosso colega do Threatpost,<a href=\"https:\/\/threatpost.com\/regin-cyberespionage-platform-also-spies-on-gsm-networks\/109539\" target=\"_blank\" rel=\"noopener noreferrer nofollow\"> Mike Mimoso observou<\/a> que os controladores de esta\u00e7\u00f5es base gerenciam chamadas enquanto elas se movem ao longo de uma rede m\u00f3vel, atribuindo\u00a0recursos e transfer\u00eancias de dados m\u00f3veis.<\/p>\n<p>\u201cIsso significa que eles poderiam ter tido acesso a informa\u00e7\u00f5es sobre as chamadas processadas por uma c\u00e9lula particular, redirecion\u00e1-lass para outras c\u00e9lulas, ativar as c\u00e9lulas vizinhas e realizar outras atividades ofensivas\u201d, disseram os pesquisadores da Kaspersky Lab. \u201cNo presente momento, os cibercriminosos\u00a0por tr\u00e1s de Regin s\u00e3o os \u00fanicos conhecidos por terem sido capaz de fazer essas opera\u00e7\u00f5es.\u201d<\/p>\n<p>Em outras palavras, os cibercriminosos por tr\u00e1s de\u00a0Regin n\u00e3o s\u00f3 monitoream de forma passiva os metadados de comunica\u00e7\u00f5es celulares, como tamb\u00e9m podem redirecionar ativamente as chamadas de celular de um n\u00famero para outro.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>De acordo com a @KasperskyBrasil,\u00a0#Regin #APT busca\u00a0v\u00edtimas comuns, assim como\u00a0um cript\u00f3grafo famoso e o GSM padr\u00e3o.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F3hAr&amp;text=De+acordo+com+a+%40KasperskyBrasil%2C%C2%A0%23Regin+%23APT+busca%C2%A0v%C3%ADtimas+comuns%2C+assim+como%C2%A0um+cript%C3%B3grafo+famoso+e+o+GSM+padr%C3%A3o.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Outro aspecto bizarro e curioso do grupo de ataque Regin \u00e9 a hist\u00f3ria de um cript\u00f3grafo e matem\u00e1tico belga famoso chamado Jean-Jacques Quisquater. Em fevereiro deste ano, os relat\u00f3rios come\u00e7aram a surgir com rela\u00e7\u00e3o ao computador pessoal de Quisquater que tinha sido hackeado\u00a0seis meses antes. Embora \u00e9\u00a0normal que acad\u00eamicos de destaque sejam alvos de ataques cibern\u00e9ticos, o caso de Quisquater foi um pouco diferente por causa das semelhan\u00e7as entre o ataque feito na\u00a0sua m\u00e1quina e outro\u00a0ataque dirigido \u00e0 empresa de\u00a0telecomunica\u00e7\u00f5es belga Belgacom.<\/p>\n<p>O \u00faltimo incidente foi objeto de uma <a href=\"https:\/\/threatpost.com\/belgian-telco-belgacom-compromised\/102299\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">revela\u00e7\u00e3o de Edward Snowden<\/a> que alegou que o ataque tinha sido orquestrado pela NSA e seu hom\u00f3logo brit\u00e2nico, GCHQ. \u00c9 claro que muitos meios de comunica\u00e7\u00e3o denunciaram que tais semelhan\u00e7as sugerem que os EUA e a intelig\u00eancia brit\u00e2nica estavam por tr\u00e1s de ambos os ataques. Apesar de nem o Kaspersky Di\u00e1rio nem a Kaspersky Lab darem consentimento a tais acusa\u00e7\u00f5es, v\u00e1rias ag\u00eancias fizeram\u00a0men\u00e7\u00e3o ao fato.<\/p>\n<p>Al\u00e9m da hist\u00f3ria de Quisquater e o fato de que o trojan tinha como objetivo os GSMs, a plataforma de ataque Regin tamb\u00e9m possui uma incr\u00edvel t\u00e9cnica sofisticada, particular em sua onipresen\u00e7a. Os cibecriminosos estabeleceram backdoors com sua infra-estrutura de comando para assegurar a persist\u00eancia impercept\u00edvel nas redes das suas v\u00edtimas. O\u00a0tr\u00e1fego de comunica\u00e7\u00f5es da campanha foi criptografado para garantir que os ataques n\u00e3o fossem observados, tanto entre os cibercriminosos e\u00a0os seus servidores de controle, assim como entre as m\u00e1quinas das v\u00edtimas e a infra-estrutura do ataque.<\/p>\n<p>A maior parte das comunica\u00e7\u00f5es de Regin ocorrer entre m\u00e1quinas infectadas \u2013 conhecidas como \u201cdrones\u201d \u2013 na rede da v\u00edtima. H\u00e1 duas raz\u00f5es para isto: por um lado permite o acesso completo, por outro\u00a0tamb\u00e9m limita a quantidade de dados que saem da rede via algum servidor de comando e controle. Assim que quando voc\u00ea v\u00ea os dados sair da rede com destino a uma rede desconhecida, fique atento. Portanto, esta comunica\u00e7\u00e3o em rede \u201cpeer-to-peer\u201d torna mais dif\u00edcil para os monitores de rede\u00a0perceberem que um ataque est\u00e1 ocorrendo.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/11\/06141813\/Regin-graph-one-1024x640.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-4458\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2014\/11\/06141813\/Regin-graph-one-1024x640.png\" alt=\"Regin-graph-one\" width=\"1280\" height=\"800\"><\/a><\/p>\n<p>\u00a0<\/p>\n<p>Em um pa\u00eds desconhecido do Oriente M\u00e9dio, cada rede vulnerada identificada pelo laborat\u00f3rio da Kaspersky Lab se comunica com todas as outras redes em uma esp\u00e9cie de estrutura peer-to-peer. A rede inclui o gabinete do presidente, um centro de pesquisa, uma rede de institui\u00e7\u00e3o de ensino e um banco. Uma das v\u00edtimas cont\u00e9m um drone capaz de transmitir os pacotes de dados roubados fora do pa\u00eds, com o\u00a0servidor de comando e controle localizados na \u00cdndia.<\/p>\n<p>\u201cIsso representa um mecanismo de comando e controle bastante interessante, que \u00e9 garantido para levantar muito poucas suspeitas\u201d, escreveram os pesquisadores. \u201cPor exemplo, se todos os comandos s\u00e3o enviados para o gabinete do presidente atrav\u00e9s da rede do banco, ent\u00e3o, todo o tr\u00e1fego malicioso que \u00e9 vis\u00edvel para os administradores de sistemas ser\u00e1 apenas com o tal banco, no mesmo pa\u00eds.\u201d<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Absolutely #1 coverage of <a href=\"https:\/\/twitter.com\/hashtag\/Regin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Regin<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> espionage campaign, must read to get the whole picture: <a href=\"http:\/\/t.co\/M1pEhnxCRa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/M1pEhnxCRa<\/a> by <a href=\"https:\/\/twitter.com\/KimZetter?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KimZetter<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/536995229501370368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 24, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Regin est\u00e1 implantado em cinco etapas que d\u00e3o aos cibercriminosos o acesso completo a uma rede vulnerada e na rede que se carrega partes subsequentes do ataque. Os m\u00f3dulos na primeira fase cont\u00e9m o \u00fanico execut\u00e1vel armazenado no computador da v\u00edtima (todos assinados com certificados digitais falsos da Microsoft e Broadcom, a fim de parecerem leg\u00edtimos.<\/p>\n<p>Os produtos da Kaspersky detectam os m\u00f3dulos da plataforma Regin como: Trojan.Win32.Regin.gen e Rootkit.Win32.Regin. A Kaspersky Lab tamb\u00e9m publicou um <a href=\"https:\/\/securelist.com\/files\/2014\/11\/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">documento t\u00e9cnico<\/a>, se voc\u00ea quiser\u00a0saber mais sobre o assunto.<\/p>\n<p style=\"text-align: right\"><em>Tradu\u00e7\u00e3o: Juliana Costa Santos Dias<\/em><\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Quase todas as empresas que rastreiam as\u00a0campanhas de amea\u00e7as persistentes avan\u00e7adas (APT) est\u00e3o falando sobre uma nova e sofisticada plataforma de ataque chamadoa \u201cRegin\u201d. O consenso geral \u00e9 que a<\/p>\n","protected":false},"author":42,"featured_media":4457,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[71,415,391,35,373],"class_list":{"0":"post-4456","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apt","9":"tag-great","10":"tag-kaspersky-lab","11":"tag-malware-2","12":"tag-pesquisa"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/regin-apt-uma-campanha-altamente-sofisticada\/4456\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=4456"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4456\/revisions"}],"predecessor-version":[{"id":14362,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/4456\/revisions\/14362"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/4457"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=4456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=4456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=4456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}