s0019-regin - RunkIntel

# Regin > [!danger] Resumo > Plataforma de espionagem cibernetica de estado desenvolvida pela aliança Five Eyes (NSA/GCHQ), ativa desde pelo menos 2003. Arquitetura modular de 5-6 estagios com criptografia em cascata, virtual file system criptografado com RC5, e capacidade de monitorar controladores de estacoes base de telefonia movel. Considerada tao sofisticada quanto o Stuxnet. Alvo conhecido: Belgacom, Comissao Europeia, AIEA, e em análise do Kaspersky, pelo menos 27 empresas no Brasil entre outras. ## Visão Geral O [[s0019-regin|Regin]] e uma plataforma de espionagem cibernetica de nivel nacional, públicamente revelada em novembro de 2014 pela Kaspersky Lab, Symantec e pelo portal The Intercept, com base em análises técnicas e documentos vazados por Edward Snowden. A plataforma e amplamente atribuida a NSA dos EUA e sua contraparte britanica GCHQ, funcionando como parte do programa compartilhado entre as Five Eyes denominado "Warriorpride" nos documentos Snowden. O Regin e distinguido por sua arquitetura extraordinariamente sofisticada: seis estagios aninhados, cada um criptografado individualmente e dependente do estagio anterior para descriptografar o proximo. Isso significa que capturar apenas um estagio do malware e práticamente inutil para análise - apenas com todos os seis estagios e possível compreender a plataforma completa. O sistema mantem um encrypted virtual file system (EVFS) contido em um único arquivo aparentemente inofensivo, com cifra RC5 modificada. A plataforma e altamente modular - operadores podem carregar módulos específicos para cada alvo. Capacidades documentadas incluem: captura de telas, keylogging, monitoramento de trafego de rede, sniffing de controladores de estacoes base GSM (permitindo monitorar celulares de clientes de operadoras comprometidas), análise de trafego de servidores IIS e roubo de senhas. A conexão entre Regin e documentos Snowden foi confirmada pelo Kaspersky quando o módulo QWERTY públicado pelo Der Spiegel foi identificado como identico ao plugin 50251 do Regin. O Fox IT removeu o Regin da Belgacom, maior operadora de telecomúnicacoes da Belgica, cujos clientes incluem a Comissao Europeia, Parlamento Europeu e Conselho da Uniao Europeia. **Plataformas:** Windows ## Arquitetura Modular ```mermaid graph TB A["Estagio 1 Loader inicial nao criptografado"] --> B["Estagio 2 Descriptografado e carregado pelo E1"] B --> C["Estagio 3 Descriptografado e carregado pelo E2"] C --> D["Estagio 4 Descriptografado e carregado pelo E3"] D --> E["Estagio 5 Kernel driver e EVFS mount"] E --> F["EVFS - Virtual FS Todos os módulos criptografados com RC5"] F --> G["Módulos Personalizados Keylogger, Screen, GSM sniffer, IIS monitor"] ``` ## Capacidades Documentadas | Módulo | Capacidade | Alvo | |--------|-----------|------| | Keylogger | Captura de teclas | Todos os sistemas | | Screen capture | Capturas de tela periodicas | Todos os sistemas | | GSM base station sniffer | Monitoramento de celulas GSM | Operadoras de telecomúnicacoes | | IIS traffic monitor | Análise de requisicoes web | Servidores IIS | | Network sniffer | Captura de trafego de rede | Todos os sistemas | | Password harvester | Roubo de senhas | Todos os sistemas | | File recovery | Recuperacao de arquivos deletados | Todos os sistemas | ## Timeline de Atividade ```mermaid timeline title Regin - Cronologia 2003 : Primeiras amostras identificadas retroativamente 2008 : Atividade documentada pelo Kaspersky 2011 : Microsoft adiciona ao Malware Encyclopedia : Detectado na Belgacom (GCHQ - operação Signal) 2013 : Reatividade detectada pelo Symantec e Kaspersky 2014 : Divulgacao publica - Symantec, Kaspersky, The Intercept : Atribuicao a NSA/GCHQ confirmada com documentos Snowden 2015 : Kaspersky publica análise de QWERTY como Regin plugin 50251 : Detectado no Ministerio de Merkel e na AIEA 2024 : Variantes ocasionais ainda identificadas em campanhas ativas ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Evasão | [[t1140-deobfuscate-decode-files-or-information\|T1140]] | Decriptografia em cascata de 6 estagios | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | EVFS com cifra RC5, cada estagio independentemente criptografado | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação via ICMP/ping e cookies HTTP | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Protocolos TCP e UDP customizados para C2 | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela periodicas | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger nativo | | Coleta | [[t1040-network-sniffing\|T1040]] | Sniffing de trafego de rede e GSM | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de módulos adicionais via C2 | ## Alvos Geograficos Documentados Conforme análise do Kaspersky e Symantec (2014): | Pais | % de Infeccoes | |------|----------------| | Russia | 28% | | Arabia Saudita | 24% | | Mexico | 9% | | Irlanda | 9% | | India | 5% | | Brasil | Incluido nos 14 paises documentados | ## Relevância LATAM/Brasil O Brasil esta explicitamente listado entre os 14 paises onde o Kaspersky detectou infeccoes por Regin. A análise da Kaspersky identificou o malware em computadores pertencentes a pelo menos 27 empresas, governos e individuos, com alvos no Brasil entre outros paises. Dado o foco da plataforma em telecomúnicacoes (especialmente operadoras que fornecem backbone para governos), e em individuos de interesse estratégico, o Brasil como membro dos BRICS e parceiro comercial da Alemanha e UE representa alvo natural para operações de coleta de inteligência das Five Eyes. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar trafego ICMP incomum com payloads nao-padrao (Regin usa ICMP para C2) > - Detectar cookies HTTP com padroes codificados inusitados em requisicoes aparentemente normais > - Buscar arquivos com conteudo aparentemente aleatorio e alto volume - candidatos a EVFS > - Verificar processos de sistema Windows com DLLs carregadas incomuns ou de localizacoes inusitadas > - EDR: monitorar acesso a arquivos em caminhos Windows System que nao deveriam ser lidos por processos de usuario > - Ferramentas como Sandfly podem detectar anomalias em carregamento de módulos de kernel ## Referências - [MITRE ATT&CK - S0019](https://attack.mitre.org/software/S0019/) - [Kaspersky - Regin Analysis](https://securelist.com/regin-nation-state-ownage-of-gsm-networks/67741/) - [Symantec - Backdoor.Regin](https://www.broadcom.com/support/security-center/attacksignatures/detail?asname=Backdoor.Regin) - [Der Spiegel - Regin Malware NSA Tool](https://www.spiegel.de/international/world/regin-malware-unmasked-as-nsa-tool-after-spiegel-publishes-source-code-a-1015255.html) - [The Intercept - Secret Malware in European Union Attack](https://theintercept.com/2014/11/24/secret-malware-european-union-attack-gchq-and-nsa/) - [Wikipedia - Regin (malware)](https://en.wikipedia.org/wiki/Regin_(malware))