Regin (logiciel malveillant)

Regin est un logiciel malveillant sophistiqué, découvert par Kaspersky Lab et Symantec, révélé en [1],[2],[3]. Actif depuis au moins 2008, il serait utilisé comme plate-forme de cyberespionnage contre des organisations privées et publiques[1],[3].

Pour le personnage de la mythologie nordique, voir Regin.

Regin

Informations
Système d'exploitation Microsoft Windows
Type Logiciel malveillant
Rootkit

Selon The Intercept, sur la base d'informations fournies notamment par Edward Snowden, ce maliciel aurait été créé par la National Security Agency (NSA) et son homologue britannique, le Government Communications Headquarters (GCHQ)[4], et aurait servi à espionner les institutions européennes et l'entreprise de télécommunications Belgacom[4],[5].

Historique

Le , la société Symantec a dévoilé l'existence de Regin qu'elle a identifié pour la première fois à l'automne 2013[6]. Elle indique que la plate-forme a d'abord été utilisée entre 2008 et 2011, date à laquelle le logiciel a brusquement disparu[6]. Une deuxième version, toujours active, est réapparue en 2013[6].

Le , la société Kasperky a également publié un livre blanc sur Regin, en précisant qu'elle l'avait identifié pour la première fois au printemps 2012[7]. Elle signale que certains composants de Regin datent de 2003[7].

The Intercept, un magazine numérique américain fondé par le journaliste Glenn Greenwald, a également publié une longue enquête le sur le maliciel Regin[4].

Le , la société Kasperky publie une analyse de deux modules de Regin : « Legspin », une porte dérobée qui pourrait dater de 2002 et « Hopscotch », un nouvel outil utilisé pour circuler au sein des réseaux informatiques visés[8],[9].

Fonctionnalités

Kaspersky décrit Regin comme une plate-forme dédiée au cyberespionnage, que les attaquants déploient dans un réseau informatique afin d'en prendre le contrôle total[6],[10].

Il aurait pour rôle principal de collecter des données, pourrait également prendre le contrôle d'ordinateurs cibles, prendre des captures d'écrans, et voler les mots de passes[1],[11].

Architecture

Symantec et Kaspersky décrivent la plate-forme de Regin comme extrêmement modulaire[7], apportant une grande flexibilité aux attaquants, car ils peuvent charger des fonctions personnalisées adaptées aux objectifs de chaque opération[2].

Ses caractéristiques modulaires rendraient complexe sa détection et se rapprocheraient d’autres maliciels comme Flamer ou Weevil[10]. Son architecture serait semblable à celle de Stuxnet[10], un ver informatique découvert en 2010 et conçu par la NSA en collaboration avec l'unité 8200 des renseignements militaires israéliens (AMAN) pour s'attaquer aux centrifugeuses d’enrichissement d'uranium de l'Iran[12],[13].

Symantec souligne que « c’est un programme d’un degré de complexité rarement atteint[6] ».

Regin est un maliciel conçu avec une caractéristique de furtivité, afin d'avoir une signature réduite ou banale et ainsi être difficilement détectable, classifiable ou identifiable:

  • Le rapport de Symantec montre que seul le « driver » utilisé dans la première des six phases d’infiltration contient du code « lisible », les informations suivantes étant chiffrées[6].
  • il ne stocke pas de multiples fichiers sur le système infecté. Au lieu de cela, il utilise son propre système de fichiers virtuel entièrement chiffré. Sur le système hôte, ce système de fichiers ressemble à un seul fichier caché et portant un nom anodin[6],[7];
  • le système de fichiers virtuels contient des fichiers identifiés uniquement par un code numérique et non par nom[6],[7];
  • le système de fichiers utilise une variante de l'algorithme de chiffrement RC5 qui est peu utilisée[6],[7];
  • Regin communique sur Internet en utilisant des commandes ICMP / ping encapsulées dans des cookies HTTP et des protocoles TCP et UDP spécifiques[6],[7].

Les composants dévoilés par Kaspersky et Symantec suggèrent que Regin cible les utilisateurs de Windows[1],[14].

Vecteurs d'infection

Symantec signale que le vecteur d'infection varie selon les cibles, et suppose qu'elles ont été infectées en visitant des sites internet falsifiés. Le logiciel malveillant s'installerait par le biais d'un navigateur Web, ou en exploitant une faille d'applications vulnérables[6].

De même, Kaspersky précise fin que le vecteur d'infection demeure un mystère, tout en supposant également que les attaquants auraient eu recours à des attaques de type « man-in-the-middle » avec utilisation d'une vulnérabilité 0-day, c'est-à-dire une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif disponible[7].

Profils des cibles

Organisations

Symantec indique que les opérateurs de Regin ne semblent pas être intéressés par un secteur particulier, les infections ayant été observées dans une grande variété d'organisations incluant des sociétés privées, des entités gouvernementales ou des instituts de recherche[6].

Kaspersky indique que les organisations recensées victimes de Regin sont des opérateurs de télécommunications, des organisations gouvernementales, des organismes politiques multinationaux, des institutions financières, des organismes de recherches, et des individus impliqués dans la recherche et développement en mathématiques ou en cryptologie avancée[7]. Kaspersky indique ainsi que le cryptographe belge Jean-Jacques Quisquater aurait été une victime de Regin en 2013[7],[15],[16],[17].

L’un des modules de Regin vise clairement les opérateurs de télécommunications, car il permet spécifiquement d’espionner ce que font les administrateurs informatiques des réseaux mobiles[10],[18].

D'après The Intercept, le maliciel serait à l'origine des attaques informatiques contre Belgacom[14],[19].

Le , le journal Le Monde indique que selon « une source proche du dossier, qui tient à rester anonyme [...] Regin avait été trouvée au sein des réseaux de plusieurs institutions européennes »[20].

Le , le journal autrichien Der Standard indique que selon plusieurs sources anonymes, le maliciel Regin aurait également été découvert dans les systèmes informatiques de l'Agence internationale de l'énergie atomique (AIEA) basée à Vienne[21]. Le journal rappelle que la NSA avait espionné cette agence internationale, comme l'avait révélé Der Spiegel en [22],[23] sur la base des révélations d'Edward Snowden.

Le , le quotidien allemand Bild révèle que Regin a été découvert sur la clé USB d'une proche collaboratrice de la chancelière Angela Merkel[24]. Les services de sécurité informatique de la Chancellerie ont détecté Regin, lorsque cette collaboratrice, qui avait finalisé l'écriture d'un discours sur l'Europe à son domicile et enregistré le document sur la clé USB, a ensuite transféré son document sur son ordinateur professionnel une fois revenue au bureau[25].

Pays

Symantec indique avoir identifié Regin principalement en Russie et en Arabie saoudite, mais aussi au Mexique, en Irlande, Inde, Afghanistan, Iran, Belgique, Autriche et Pakistan[6].

Kaspersky indique de son côté avoir identifié vingt-sept organisations victimes dans quatorze pays : Afghanistan, Algérie, Allemagne, Belgique, Brésil, Fiji, Inde, Indonésie, Iran, Kiribati, Malaisie, Pakistan, Russie et Syrie[7].

Attribution

Une opération étatique

Selon un expert de Symantec, Regin est incontestablement, au regard de ses caractéristiques (durée de l'opération, motivation, moyens financiers nécessaires pour le développement et le déploiement de l'infrastructure), un programme soutenu par un État[10],[26]. Il aurait ainsi fallu une équipe « d’au moins quatre spécialistes qui ont travaillé environ un an à son élaboration ». Selon cet expert, cette opération aurait coûté « plusieurs centaines de milliers de dollars sans viser de cibles potentiellement lucratives comme les institutions financières[10] ». Cependant, dans son premier rapport publié, Symantec ne désigne pas d'État responsable du développement de Regin[27].

Kasperky Lab n'attribue pas non plus de responsable à Regin, mais précise qu'il est probable que cette opération soit supportée par un État, du fait de sa complexité et son coût[7].

La société G Data Software, qui a dévoilé une analyse d'une partie du code de Regin le lors de la conférence Hack.lu, confirme l'origine étatique de ce programme malveillant[20],[28].

De son côté, la société F-Secure conclut son analyse en indiquant que Regin ne vient pas de Russie ou de Chine[29].

De forts soupçons sur une implication du GCHQ et de la NSA

The Intercept a révélé que le logiciel malveillant Regin faisait partie d'une opération conjointe menée depuis dix ans par la National Security Agency et son homologue britannique, le Government Communications Headquarters (GCHQ)[4]. Le rapport d'analyse de The Intercept est fondé en partie sur les informations d'Edward Snowden[30]. The Intercept rappelle que les logiciels malveillants du GCHQ ont donné aux espions britanniques la possibilité de recueillir des données de Belgacom, une entreprise qui fournissait des services de télécommunications à plusieurs institutions européennes[4] :

Un expert de l'entreprise néerlandaise de sécurité informatique Fox-IT, qui avait aidé Belgacom à éradiquer les maliciels implantés dans son réseau en 2013, a déclaré être « convaincu » que Regin a été créé par la NSA ou le GCHQ[34],[35]. D'autre part, cette société suggère que les composants de Regin dévoilés à ce jour correspondent aux produits dénommés UNITEDRAKE et STRAIGHTBIZARRE dans le catalogue de la NSA (NSA ANT catalog (en)), dont l'existence et le contenu ont été dévoilés par le journal Der Spiegel le [34],[35],[36].

Protection

Kaspersky précise que ses produits détectent les modules de la plate-forme Regin sous les noms de « Trojan.Win32.Regin.gen » et « Rootkit.Win32.Regin »[7]. Regin est détecté par les produits Symantec et Norton AntiVirus sous le nom de « Backdoor.Regin »[6].

Références
  1. Martin Untersinger, « Le virus « Regin », arme de « surveillance de masse » développée par un Etat », Le Monde, (lire en ligne)
  2. Gilbert Kallenborn et AFP, « Regin, le malware furtif qui espionne à tout va », 01net, (lire en ligne)
  3. Marc Zaffagni, « Regin, un logiciel espion redoutable vient d’être découvert », Futura High-Tech, sur Futura-Sciences, (consulté le ).
  4. (en) Morgan Marquis-Boire, Claudio Guarnieri et Ryan Gallagher, « Secret Malware in European Union Attack Linked to U.S. and British Intelligence », The Intercept, (lire en ligne)
  5. Eric LB, « Regin, le super malware de la NSA et du GCHQ qui a espionné l’Union Européenne », 01net, (lire en ligne)
  6. (en) « Rapport Regin: Top-tier espionage tool enables stealthy surveillance v1.0 » [PDF], Symantec,
  7. (en) « Rapport The Regin Platform Nation-state ownage of GSM Networks v1.0 » [PDF], Kaspersky Lab,
  8. (en) « An analysis of Regin's Hopscotch and Legspin », Kaspersky Lab,
  9. (en) « Analysts detail spying tool Regin's malicious module », SC Magazine,
  10. Sebastian Seibt, « Economie - Découverte de Regin, un logiciel espion à tout faire », France 24, (consulté le )
  11. Marc Rees, « Regin, un malware modulaire spécialisé dans la collecte de données », Next INpact, (lire en ligne)
  12. (en) David E. Sanger, « Obama Ordered Wave of Cyberattacks Against Iran », New York Times, (lire en ligne)
  13. (en) James Bamford, « NSA Snooping Was Only the Beginning. Meet the Spy Chief Leading Us Into Cyberwar », Wired, (lire en ligne)
  14. (en) Jon Fingas, « Sophisticated malware has been spying on computers since 2008 (updated) », Engadget, (lire en ligne)
  15. (nl) « Amerikanen hacken nu ook Belgische prof », Het Nieuwsblad, (lire en ligne)
  16. (nl) « NSA hackt Belgische cyberprof », De Standaard, (lire en ligne)
  17. « Le génie belge du cryptage espionné par la NSA », Le Vif/L'Express, (lire en ligne)
  18. (en) « Regin: a malicious platform capable of spying on GSM networks », Kaspersky Lab, (consulté le )
  19. E.B., « Le logiciel espion qui a piraté Belgacom a été identifié », Le Soir, (lire en ligne)
  20. Martin Untersinger, « Des espions anglais et américains ont-ils créé le virus Regin ? », Le Monde, (lire en ligne)
  21. (de) Fabian Schmid et Markus Sulzbacher, « Spionagesoftware "Regin" nahm Atomenergiebehörde ins Visier », Der Standard, (lire en ligne)
  22. (en) « Codename 'Apalachee':Codename 'Apalachee': How America Spies on Europe and the UN »,
  23. Damien Leloup, « La NSA espionnait aussi les Nations unies »,
  24. (de) « Spionage-Virus im Kanzleramt! Es begann mit einem USB-Stick … », Bild,
  25. « La Chancellerie allemande attaquée par un virus informatique américain », RTS.ch,
  26. (en) Ellen Nakashima, « New Regin spyware found, likely created by a government », The Washington Post, (lire en ligne)
  27. Marc Rees, « Regin, un malware modulaire spécialisé dans la collecte de données », Next INpact, (lire en ligne)
  28. (en) Présentation D&D of malware with exotic C&C de la société G Data Sowftare, Conférence Hack.lu, Paul Rascagneres et Eric Leblond, 23 octobre 2014 [PDF]
  29. (en) The Regin Espionage Toolkit, F-Secure, 23 novembre 2014
  30. (en) Nicole Perlroth, « Symantec Discovers 'Regin' Spy Code Lurking on Computer Networks », The New York Times, (lire en ligne)
  31. (en) « Belgacom Attack: Britain's GCHQ Hacked Belgian Telecoms Firm », Der Spiegel,
  32. (en) « Cyber Attack: Belgians Angered by British Spying », Der Spiegel,
  33. Reuters, « Le Royaume-Uni a espionné la compagnie belge Belgacom », Les Échos,
  34. (de) Christian Stöcker et Marcel Rosenbach, « Trojaner Regin ist ein Werkzeug von NSA und GCHQ - SPIEGEL ONLINE », Der Spiegel, (lire en ligne)
  35. (en) Kim Zetter, « Researchers Uncover Government Spy Tool Used to Hack Telecoms and Belgian Cryptographer », Wired Magazine, (lire en ligne)
  36. (en) Jacob Appelbaum, Judith Horchert et Christian Stöcker, « Catalog Reveals NSA Has Back Doors for Numerous Devices - SPIEGEL ONLINE », Der Spiegel, (lire en ligne)

Annexes

Articles connexes

Liens externes
  • Portail du renseignement
  • Portail de la sécurité de l’information
  • Portail de la sécurité informatique
  • Portail des États-Unis
  • Portail du Royaume-Uni
  • Portail d’Internet
  • Portail des années 2010
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.