Archives de catégorie : Actualités

Regin, un nouveau logiciel espion redoutable.

Regin-750x400

Symantec vient de révéler l’existence d’un nouveau logiciel malveillant nommé Regin qu’il décrit comme un outil furtif dédié à la surveillance de masse. L’éditeur affirme que ce cheval de Troie a été utilisé pour espionner des organismes gouvernementaux, des entreprises, des opérateurs d’infrastructures (fournisseurs d’accès Internet, opérateurs réseaux et télécoms), des centres de R&D ainsi que des individus travaillant dans des secteurs clé, comme l’aéronautique ou l’énergie.

regin

Voici la structure en cinq étapes du virus Regin telle que décrite par Symantec.

Il serait en activité depuis 2008 et démontre « un degré de compétence technique rarement vu ». Le développement de Regin a pu prendre des mois, et même des années. Ses capacités et le niveau de ressources nécessaires à sa mise en œuvre laissent penser qu’il a pu être conçu et lancé par un État. Ce malware pourrait servir à des campagnes d’espionnage sur plusieurs années. Ce logiciel espion est configurable en fonction de la cible et « fournit à ceux qui le contrôlent un moyen puissant pour de la surveillance de masse », ajoute Symantec. Des campagnes d’espionnage sur plusieurs années pourraient être ainsi organisées.

Regin serait un outil servant à la surveillance de masse et visant principalement de petites entreprises, des individus travaillant dans des secteurs clés (aéronautique, énergie…) et des opérateurs des télécoms. Le secteur hôtelier est aussi ciblé, vraisemblablement pour pouvoir suivre les déplacements de certaines cibles. © Symantec
La structure de Regin est très complexe. Elle comporte cinq étapes, chacune étant chiffrée et indétectable. Symantec explique que la première phase lance un processus dans lequel chaque étape prépare et exécute la suivante. Prise individuellement, une étape ne livre que peu d’informations. Il faut parvenir à rassembler les cinq étapes pour pouvoir analyser et comprendre le fonctionnement de l’ensemble. « Même lorsque sa présence est détectée, il est très difficile de déterminer ce qu’il fait », reconnaît l’éditeur.
Sa structure peut être adaptée pour changer les fonctions du malware selon la cible visée. Regin est capable de faire des captures d’écran, contrôler une souris d’ordinateur, dérober des mots de passe, surveiller le trafic d’un réseau et récupérer des fichiers effacés. Sa méthode de propagation est dans certains cas assez classique. Elle se fait en attirant la victime sur une version contrefaite d’un site Internet connu ou par injection directe via une clé USB.
Pour se camoufler, Regin emploie plusieurs techniques avec notamment, un système de chiffrement EFS virtuel, des commandes http logées dans des cookies et des protocoles de communication TCP et UDP personnalisés. Symantec a détecté le virus en 2008. En 2011 il disparaît avant de réapparaître dans une nouvelle version en 2013. Regin cible certains particuliers et des petites entreprises (48 %), des infrastructures télécoms (28 %) ainsi que le secteur hôtelier. Dans ce dernier cas, le but est vraisemblablement de pouvoir suivre les déplacements de certaines personnes.
Symantec a également identifié la propagation géographique de Regin. Le malware a sévi principalement en Russie (28 %), en Arabie saoudite (24 %), au Mexique (9 %), en Irlande (9 %) et en Inde (5 %). « Symantec pense que beaucoup de composants de Regin n’ont pas été découverts et d’autres fonctionnalités et versions peuvent exister »,
On en reparlera certainement….