regin - RunkIntel

# Regin > Tipo: **espionage-platform** · S0019 · [MITRE ATT&CK](https://attack.mitre.org/software/S0019) ## Cadeia de Operação ```mermaid graph TB A["🎯 Infecção inicial Vetor desconhecido Provavelmente drive-by ou email"] --> B["🔐 6 estagios cifrados Apenas Estagio 1 visivel EVFS com RC5 variante"] B --> C["📂 Virtual File System NTFS Extended Attributes T1564.004 Hidden FS T1564.005"] C --> D["🔍 Vigilancia massiva Keylogging T1056.001 GSM base stations sniff T1040"] D --> E["📡 P2P entre vitimas ICMP covert channel Proxies universitarios T1090.002"] classDef initial fill:#e74c3c,color:#fff classDef stages fill:#e67e22,color:#fff classDef storage fill:#3498db,color:#fff classDef spy fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A initial class B stages class C storage class D spy class E c2 ``` ## Descrição [[s0019-regin|Regin]] (também conhecido como Prax, QWERTY e identificado em documentos NSA como "Straitbizarre" e "Unitedrake") e uma plataforma de malware atribuida a NSA e ao GCHQ britanico, com datas de compilacao que remontam a 2003 - tornando-a uma das ferramentas de espionagem cibernetica de mais longa duracao já documentadas. Revelada públicamente pela Symantec e Kaspersky em novembro de 2014 - e confirmada por vazamentos de Snowden e reportagens do jornal Der Spiegel - o [[s0019-regin|Regin]] foi implantado em operadoras de telecomúnicacoes, governos, instituicoes financeiras e pesquisadores em mais de uma dezena de paises, incluindo Russia (28% das vitimas), Arabia Saudita e também o Brasil. A arquitetura do [[s0019-regin|Regin]] e de seis estagios encadeados, onde apenas o primeiro estagio e visivel na maquina infectada. Cada estagio subsequente e cifrado e so pode ser descriptografado pelo estagio anterior - tornando análise incompleta impossível sem acesso a toda a cadeia. O malware usa um sistema de arquivos virtual cifrado (EVFS) com variante do algoritmo RC5, armazenado em Atributos Estendidos NTFS ([[t1564-004-ntfs-file-attributes|T1564.004]]) ou sistema de arquivos oculto separado ([[t1564-005-hidden-file-system|T1564.005]]) - técnicamente sofisticado o suficiente para ser práticamente invisivel a ferramentas forenses convencionais. O [[s0019-regin|Regin]] inclui um módulo especialmente poderoso para monitoramento de controladores de estacao base GSM - em abril de 2008, os operadores capturaram credenciais administrativas de uma operadora GSM no Oriente Medio, com acesso potencial para redirecionar chamadas ou desligar a rede movel. A comunicação C2 utiliza canais encobertos via ICMP (ping), cookies HTTP e protocolos TCP/UDP customizados. Um dos casos mais documentados pelo GCHQ foi o ataque a Belgacom, maior operadora de telecomúnicacoes da Belgica, revelado por Snowden - os invasores usaram o [[s0019-regin|Regin]] para comprometer sistemas internos de comutacao de trafico. **Plataformas:** Windows ## Diagrama de Estagios ```mermaid graph TB E1["Estagio 1 - Visivel Único componente detectavel Driver instalado"] --> E2["Estagio 2 Cifrado Configuração servicos"] E2 --> E3["Estagio 3 Cifrado Servicos internos"] E3 --> E4["Estagio 4 Cifrado Módulos payload principais"] E4 --> E5["Estagio 5 Cifrado EVFS + dados"] E5 --> E6["Estagio 6 Cifrado Módulos especializados GSM"] ``` ## Técnicas Utilizadas - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1564-005-hidden-file-system|T1564.005 - Hidden File System]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1036-001-invalid-code-signature|T1036.001 - Invalid Code Signature]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Grupos que Usam - [[g0041-strider|Strider]] ## Detecao A detecao do [[s0019-regin|Regin]] e extremamente dificil dado o design multicamadas. Verificar integridade de Atributos Estendidos NTFS em sistemas criticos - presenca de dados binarios significativos em Extended Attributes de arquivos de sistema e suspeita. Monitorar trafego ICMP com payloads incomuns - o [[s0019-regin|Regin]] usa ICMP para comunicação C2 encoberta ([[t1095-non-application-layer-protocol|T1095]]). Ferramentas de análise de disco devem verificar setores raw ao final de volumes para detecao do sistema de arquivos oculto ([[t1564-005-hidden-file-system|T1564.005]]). Em ambientes de telecom, monitorar acesso nao autorizado a controladores de estacao base GSM. Regras YARA e IOCs públicados por Kaspersky e Symantec em 2014 permitem identificar amostras do Estagio 1 conhecidas. > [!warning] Alerta de Telecom > O módulo de monitoramento GSM do Regin permite interceptação de chamadas e SMS. Operadoras de telecomúnicacoes devem auditar acesso administrativo a controladores BSC/MSC e monitorar autenticacoes incomuns com credenciais de nivel OAM. ## Relevância LATAM/Brasil Documentos públicos da Symantec e pesquisas de Kaspersky confirmam que o Brasil estava entre os paises infectados pelo [[s0019-regin|Regin]]. Dado o foco em telecomúnicacoes (operadoras de telefonia), governo, bancos e pesquisa - todos setores com presenca significativa no Brasil - a exposicao potencial e real. Operadoras de telecomúnicacoes brasileiras (Vivo, Claro, TIM, Oi) e o governo federal sao alvos de interesse para espionagem de nivel estatal. O precedente Belgacom (onde o GCHQ comprometeu o switch de comúnicacoes da UE) sugere que infraestrutura de comúnicacoes governamentais brasileira pode ser alvo semelhante. Organizacoes de telecom e entidades governamentais devem implementar monitoramento de integridade de sistemas de gestao de rede. ## Referências - [1](https://attack.mitre.org/software/S0019/) MITRE ATT&CK - Regin S0019 - [2](https://en.wikipedia.org/wiki/Regin_(malware)) Wikipedia - Regin (malware) - NSA/GCHQ atribuicao e Belgacom - [3](https://www.darkreading.com/cyberattacks-data-breaches/newly-revealed-cyber-espionage-attack-more-complex-than-stuxnet-flame) Dark Reading - Newly Revealed Cyber Espionage Attack Regin (2014)