El antivirus Symantec ha revelado en su página web que un malware muy avanzado ha formado parte de campañas de espionaje sistemáticas contra una serie de objetivos internacionales desde, al menos, el año 2008 (aunque podría remontarse a 2004).
La complejidad de este software malicioso ha llamado la atención de los expertos encargados de eliminarlo. El poder incluir nuevas características y capacidades en función del objetivo, lo convierte en un arma de gran alcance para la vigilancia masiva. Todo indica que estamos ante una de las herramientas de ciberespionaje más importantes que haya utilizado un estado. ¿Quién puede estar detrás de un ataque cibernético tan sofisticado y sigiloso?
La revista de Glenn Greenwald, “The Intercept”, señala que Regin es parte de una operación conjunta llevada a cabo por la Agencia Nacional de Seguridad estadounidense y su homóloga británica, la GCHQ, con nombre en código “Operación Socialista”. Esta información se basa en las revelaciones de Edward Snowden.
Son muchas las organizaciones que han sufrido una infección del virus entre 2008 y 2011, año en que se retiró para volver con fuerza en 2013. Un 48% son pequeñas empresas y particulares, pero también han sido rastreadas empresas de telecomunicaciones, un 28%, para tener acceso a las llamadas; entidades gubernamentales, institutos de investigación o compañías aéreas, de la energía y hosteleras. Por países, Rusia y Arabia Saudí han sufrido la mitad de las infecciones, pero también han sido objeto de interés México, India, Afganistán, Irán, Pakistán y países de la UE como Irlanda, Austria o Bélgica (en concreto, la empresa de telecomunicaciones Belgacom).
El malware, que actúa en 5 etapas, está configurado para tomar capturas de pantalla, robar contraseñas, monitorizar el tráfico de red, recoger información de la memoria del ordenador o recuperar archivos borrados. Las víctimas han sido infectadas de diferente manera. Unas, descargando malware de versiones falsificadas de sitios web populares; otras, como Belgacom, a través de una página falsa de LinkedIn que descargaba malware en los equipos de los empleados, pero también a través del servicio de mensajería de Yahoo.