Regin : le malware d'espionnage dont nous n'avons pas fini d'entendre parler

mardi 25 novembre 2014

Symantec nous informe qu'un trojan de type "backdoor", connu sous le nom de Regin, a été utilisé dans le cadre de campagnes d’espionnage systématique envers des cibles internationales depuis au moins cinq ans.

Particulièrement complexe, Regin permettrait à ses commanditaires d’assurer une surveillance massive et aurait été utilisé dans différentes opérations menées contre des organisations gouvernementales, des opérateurs d’infrastructures, des entreprises, des scientifiques et des individus.

D'après Symantec, son développement a pris plusieurs mois, voire plusieurs années, et ses auteurs ont tout fait pour rester dans la plus grande discrétion. "Ses capacités ainsi que le niveau de ressources derrière Regin indiquent qu’il s’agit de l’un des principaux outils de cyber espionnage utilisé par un état" précise l'expert en sécurité.

Regin utilise, en effet, une approche modulaire, lui permettant de "charger" des fonctionnalités adaptées à la cible. Et depuis 2008, une dizaine de pays dans le monde ont été touchés. 

Symantec estime que certaines cibles ont été dupées et aiguillées, malgré elles, vers de fausses versions de site Internet bien connus, et que le malware a été installé via un navigateur web, lors de l'ouverture d’une application et via Yahoo ! Instant Messenger (par le biais d'une faille non confirmée).

Les développeurs de Regin ont, en tout cas, déployé des efforts considérables pour le rendre indétectable. Ce qui semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Et même lorsque sa présence est détectée, il est très difficile de connaître avec précision ses actions. Symantec n’a d'ailleurs pu analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Le réseau GSM aussi est touché

Ce n'est pas tout. Kaspersky Lab complète le tableau en annonçant que Regin dispose d’un module spécifique capable de surveiller les contrôleurs de stations de base GSM et ainsi de collecter des données concernant des cellules GSM et l’infrastructure réseau des victimes.

L’acteur derrière la plate-forme Regin a mis en place une méthode solide de contrôle des réseaux infectés. Kaspersky Lab a observé plusieurs des organisations compromises dans un pays, et ses experts ont remarqué qu’une seule d’entre elles communiquait avec le serveur de contrôle et de commande situé dans un autre pays. Cependant, toutes les victimes de Regin de cette région étaient reliées entre elles grâce à un réseau Peer-to-Peer de type VPN, et elles pouvaient communiquer entre elles. Ainsi, les attaquants ont transformé les organisations touchées en un vaste réseau unifié, ce qui leur a permis d’envoyer des commandes et de voler des informations depuis un seul point d’entrée. C’est ainsi qu’ils ont pu passer inaperçue pendant des années.

"La capacité de Regin à pénétrer et surveiller les réseaux GSM est peut-être l’aspect le plus inhabituel et le plus intéressant de l’opération, ajoute Costin Raiu, Directeur de l’équipe de chercher et d’analyse internationale (GReAT) de KasperskyLab. Dans le monde actuel, nous sommes devenus trop dépendants des réseaux mobiles qui fonctionnent grâce à des protocoles de communication anciens, peu ou pas sécurisés pour l’utilisateur final. Bien que tous les réseaux GSM disposent de mécanismes embarqués permettant par exemple aux forces de l’ordre de repérer un suspect, c’est aussi par ce moyen que des tiers peuvent pirater le système et en abuser pour lancer des attaques contre les utilisateurs de mobiles".

La découverte de Regin confirme l’importance des investissements pour le développement d’outils informatiques à des fins de renseignement. Symantec estime d'ailleurs que de nombreuses composantes de Regin restent à découvrir et que des fonctionnalités et des versions supplémentaires existent. 

Nous n'avons donc pas fini d'en entendre parler. 
 

Imprimer l'article  Transférer par mail  Commenter  Facebook Twitter

En continu

Tribunes

Les vidéos du moment

Par date de parution


Derniers commentaires

ITCh sky droit

Rubriques

Thèmes

Secteurs