lunes, noviembre 24, 2014

Regin

(vía Slashdot) Parece ser que tenemos un nuevo troyano sobre el cual lleva investigando Symantec un tiempo. Se trata de un programa que permite de manera remota tomar el control del ordenador en el que ha sido instalado y ejecutar diversos módulos en función de lo que se desee espiar en el objetivo. La particularidad de este troyano es que su carga está encriptada hasta cinco veces, que tiene una variedad de módulos para realizar diversas tareas de espionaje, lo que facilita su adaptación al objetivo. Symantec ha publicado un análisis del mismo. Un detalle importante es que parece ser que se ha encontrado especialmente en proveedores de internet y empresas de telecomunicaciones (más del 20% de las muestras), lo que hace sospechar que hay algún gobierno con el suficiente músculo tecnológico y financiero para llevar a cabo un programa de este tipo.

Según el análisis de Symantec, el programa está construido a partir de un framework que permite su adaptación al objetivo que se desea espiar. Es más parece ser que su diseño busca obtener información y monitorizar continuamente a los objetivos espiados. Empezó a estudiarse entorno al 2013, pero parece ser que hay ataques que se pueden trazar hasta el 2008.

Me gustaría saber como han llegado a los ejemplares del troyano que han estudiado Symantec. Y sobre todo, ¿hay algún detector de anomalías que alertara sobre su presencia?

No hay comentarios: