Regin, un malware modulaire spécialisé dans la collecte de données

Regin, un malware modulaire spécialisé dans la collecte de données

Regin et les p’tits papiers

Avatar de l'auteur
Marc Rees

Publié dans

Logiciel

24/11/2014 4 minutes
58

Regin, un malware modulaire spécialisé dans la collecte de données

« Dans le monde des logiciels malveillants, de rares exemples peuvent vraiment être considérés comme révolutionnaires et incomparables. Ce que nous avons constaté avec Regin s’inscrit dans une telle classe de malware ». Voilà comment Symantec annonce sa découverte, communiqué et livre blanc à l’appui.

Selon l’entreprise de sécurité, Regin serait un logiciel malveillant spécialisé dans la collecte de renseignements. « Il a été impliqué dans des opérations de collectes de données visant des organisations gouvernementales, des opérateurs d’infrastructure, des entreprises, des universités et des individus » assure l’éditeur.

 

Celui-ci décrit encore un malware modulaire présentant un haut niveau de sophistication qui n’a donc pu être développé que par une équipe bien informée après des mois, voire des années de recherches. Ainsi, plus qu’un individu, c’est un pays qui pourrait être à son origine, sans que Symantec prenne le risque de désigner un État responsable.

 

Les premières formes de Regin remonteraient à 2008 en v.1, puis 2013 pour la v.2. Dans un livre blanc, Symantec prévient que les PME et les individus seraient les secteurs les plus touchés, avec celui des télécoms. Géographiquement, c’est la Russie qui intéresserait le plus Regin, suivi de près par l’Arabie saoudite, et loin derrière, l’Irlande, le Mexique, la Belgique, ou encore le Pakistan. Cependant, ce n’est évidemment pas parce que ce malware aurait été utilisé dans ces pays qu’il n’en serait pas originaire. Ce n’est ici qu’un indice pour tracer une origine géographique.

 

syùantec regin

 

 

Une approche modulaire, à la carte

Symantec affirme en tout cas que ce malware s’éloigne des menaces de type Advanced persistent threats (APTs), plus ciblées. « Regin est en effet utilisé pour la collecte de données et le monitoring de cibles organisationnelles ou individuelles », insiste l’éditeur. Ses caractéristiques modulaires rendraient en tout cas complexe sa détection, et se rapprocherait d’autres malwares comme Flamer ou Weevil. De même, son architecture serait similaire à celle du funeste Stuxnet. Parmi ses facettes, Regin inclurait des fonctionnalités de type cheval de Troie, capture d’écran, ou prise de contrôle à distance. Dans sa besace, il pourrait ainsi voler des mots de passe, surveiller le trafic réseau ou glaner des informations sur l’utilisation de la mémoire.

 

 

 

L’un de ses modules aurait par exemple été conçu pour surveiller le trafic sur les serveurs Microsoft (IIS), d’autres pour viser les stations utilisées en matière de téléphonie mobile ou les flux de données gérés par Exchange. L’opérateur qui exploite ce dispositif aurait en tout cas la possibilité d’ajouter des fonctions personnalisées en fonction des besoins ou des objectifs.

Un module dédié au contrôle des stations de base GSM

Au plan des modules activables, Kaspersky confirme pour sa part que l’un d’eux est également « capable de surveiller les contrôleurs de stations de base GSM et ainsi de collecter des données concernant des cellules GSM et l’infrastructure réseau des victimes ». Un rapport complet épaule ces affirmations via securelist.

 

Sur un pays (non cité), prévient encore l’éditeur russe, « toutes les victimes de Regin de cette région étaient reliées entre elles grâce à un réseau Peer-to-Peer de type VPN, et elles pouvaient communiquer entre elles. Ainsi, les attaquants ont transformé les organisations touchées en un vaste réseau unifié, ce qui leur a permis d’envoyer des commandes et de voler des informations depuis un seul point d’entrée. C’est ainsi qu’ils ont pu passer inaperçu pendant des années ».

Un vecteur d'infection encore inconnu

Le vecteur d’infection est encore méconnu, annonce encore Symantec, celui-ci étant dans l’incapacité de le reproduire. Dans ses hypothèses, il suggère l’exploitation d’une faille dans Yahoo Messenger. « Un exploit non confirmé » tempère l’éditeur, et pour cause on voit mal un tel logiciel installé sur une infrastructure télécom…

58

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une approche modulaire, à la carte

Un module dédié au contrôle des stations de base GSM

Un vecteur d'infection encore inconnu

Commentaires (58)


CTRL + F : Recherche “windows” : rien trouvé.



On parle bien de Windows ici ?


Trois lettres s’improvisent rapidement dans les esprits à la lecture de cet article.

 

Les 3 mêmes que celles évoquées lors de l’affaire des centres nucléaires et des pays à l’est spécifiquement ciblés ?


dans Israël y’a plus de 3 lettres 


C’est à la fois remarquable.. et flippant <img data-src=" />


facebook et google aussi font de la collecte depuis des années, et on ne les considère pas comme des malwares.


(on va faire la meme blague que chez numerama hein)



Moi je sais de quel pays ca vient ! :p


Vu que quasiment chaque pays développe ses logiciels-espions ultra-sophistiqués pour aller espionner les petits copains, on peut penser que les PC/smartphones des personnes importantes/influentes de ce monde doivent être infestées de Trojan ultra-furtifs.&nbsp;



Celui-ci s’est fait chopper, reste les autres…








Zorglob a écrit :



Trois lettres s’improvisent rapidement dans les esprits à la lecture de cet article.

 

Les 3 mêmes que celles évoquées lors de l’affaire des centres nucléaires et des pays à l’est spécifiquement ciblés ?







DTC ?!?!? <img data-src=" />









Zorglob a écrit :



Trois lettres s’improvisent rapidement dans les esprits à la lecture de cet article.

 

Les 3 mêmes que celles évoquées lors de l’affaire des centres nucléaires et des pays à l’est spécifiquement ciblés ?





PRC? RDC?



J’aurais dit DTC moi.



Plus sérieusement, je suis entre l’admiration et la peur avec de genre de découverte.


“Regin”, ah cette mode de donner des noms féminins, comme pour les tempêtes, pour que ça passe mieux psychologiquement…


Zorglob doit penser à une agence gouvernementale, pas un pays <img data-src=" />









Nozalys a écrit :



“Regin”, ah cette mode de donner des noms féminins, comme pour les tempêtes, pour que ça passe mieux psychologiquement…





C’est vrai que Flamer, Weevil ou Stuxnet c’est très féminin :)



“Ainsi, plus qu’un individu, c’est un pays qui pourrait être à son origine, sans que Symantec prenne le risque de désigner un État responsable.

[…]



&nbsp;Géographiquement, c’est la Russie qui intéresserait le plus Regin, suivi de près par l’Arabie saoudite, et loin derrière, l’Irlande, le Mexique, la Belgique, ou encore le Pakistan.”



On se demande bien de quel pays cela peut venir&nbsp;<img data-src=" />








jb18v a écrit :



C’est vrai que Flamer, Weevil ou Stuxnet c’est très féminin :)





C’est un chouilla plus vieux, c’est pour ça <img data-src=" />



&nbsp;





Sigma42 a écrit :



On se demande bien de quel pays cela peut venir&nbsp;<img data-src=" />





Oui, je me suis dit qu’ils prenaient des risques ces gens-là



Je suis pas étonné de voir la Belgique dans les cibles de ses attaques.



Peut être que un jour, mes édiles se rendront compte que abritant, le siège de l’ OTAN et des instances européennes, il serait peut être urgent d’ investir non seulement des budgets dans la protection informatique du pays mais plus encore (vu que l’ état belge en est un gros actionnaire) d’ allouer à notre FAI national les moyens d’ éviter de se faire sodo@&`! par n’ importe qui comme cela fut le cas récemment…



Un exemple des moyens dont dispose la force de frappe de notre cyberpolice ?



http://m.levif.be/actualite/belgique/la-computer-crime-unit-bricole-avec-du-vieu…




Pas compris.

En quoi il est révolutionnaire et incomparable ?


Quand tu vois le couteau suisse de fonctionnalité et la modularité. Les virus ressemblent de plus en plus à des IA. En tous cas ça deviens vraiment complexe.


Oui ça me fait penser à une émission entendu l’an passé sur une radio belge où ça débattait des services de renseignement moderne avec en invités quelques ex du milieu et en Europe c’est Bruxelles et Strasbourg qui sont de véritables nid à espions.

Par contre ils ont clairement mentionné que le défaut des Etats Unis étaient de trop investir et se concentrer sur l’espionnage numérique ce qui explique un peu que les services renseignements du vieux continents sont plus compétents en conservant un avantage sur le terrain.

Mais après il est clair que la Belgique et la France ont aussi tout intérêt à investir dans la sécurité informatique pour protéger le parlement Européen (Strasbourg), l’OTAN et les instances Européennes (Bruxelles).








FRANCKYIV a écrit :



CTRL + F : Recherche “windows” : rien trouvé.



On parle bien de Windows ici ?





En effet, il s’agit bien de Windows quand on regarde l’image ci-dessous.

https://kasperskycontenthub.com/securelist/files/2014/11/Regin-graph-three.png

Cette image hébergée sur le serveur de Kaspersky est citée sur le site&nbsp;https://securelist.com/ lui-même mentionné dans l’article NextINpact.









Tiana87440 a écrit :



En effet, il s’agit bien de Windows quand on regarde l’image ci-dessous.

https://kasperskycontenthub.com/securelist/files/2014/11/Regin-graph-three.png

Cette image hébergée sur le serveur de Kaspersky est citée sur le site https://securelist.com/ lui-même mentionné dans l’article NextINpact.







Marchi <img data-src=" />



J’eusse eu peur qu’il soit multi-plateforme … <img data-src=" />



Cela dit, après une recherche affinée sur Google, je constate que Wikipedia est le seul (ou presque ?) à mentionner directement que le virus agit sur Windows. Étrange…

Article Wikipédia (en Anglais) :&nbsphttps://en.wikipedia.org/wiki/Regin_(malware)








FRANCKYIV a écrit :



Marchi <img data-src=" />



J’eusse eu peur qu’il soit multi-plateforme … <img data-src=" />





Utilisateur de Linux ?









Tiana87440 a écrit :



Utilisateur de Linux ?







Gnu Linux Mint Mate en système principal connecté à Internet.

Microsoft Windows 7 virtualisé non connecté à Internet pour des programmes spécifiques (Adobe Photoshop Lightroom, Paint Shop Pro X6, etc …).



Et enfin Microsoft Windows 7 en dur non connecté à Internet pour quelques jeux.










FRANCKYIV a écrit :



Marchi <img data-src=" />



J’eusse eu peur qu’il soit multi-plateforme … <img data-src=" />&nbsp;





Il l’est peut-être^^



Tu es sous linux? MacOS?









coket a écrit :



Il l’est peut-être^^



Tu es sous linux? MacOS?







Cf au dessus ^-^









FRANCKYIV a écrit :



Gnu Linux Mint Mate en système principal connecté à Internet.

Microsoft Windows 7 virtualisé non connecté à Internet pour des programmes spécifiques (Adobe Photoshop Lightroom, Paint Shop Pro X6, etc …).



Et enfin Microsoft Windows 7 en dur non connecté à Internet pour quelques jeux.





Pour toi, Windows est si dangereux que ça ?









Guyom_P a écrit :



Mais après il est clair que la Belgique et la France ont aussi tout intérêt à investir dans la sécurité informatique pour protéger le parlement Européen (Strasbourg), l’OTAN et les instances Européennes (Bruxelles).





L’intérêt de la France, ça serait plutôt de quitter ces instances antidémocratiques au service des intérêts privés de quelques uns et d’instaurer une vraie démocratie.









Tiana87440 a écrit :



Pour toi, Windows est si dangereux que ça ?







Dangeureux oui et non.

En ce qui concerne les virus ou quoi, ça ne me dérange absolument pas qu’ils me pourrissent le système.

J’ai une image de ce dernier, et remettre le système en place me prendra quoi 10 à 15 minutes à tout cassé.



En revanche, les virus qui s’attaquent à tes fichiers stockés sur le disque dur (du genre qui les crypent et te demandent une rançon), c’est pas la même histoire !



Perso j’ai pas envie de perdre par exemple les nombreuses vidéos tutoriels que je peux créer (bien qu’il y a ai une copie dans 80% des cas).



De plus, je n’ai pas confiance dans un système fermé lorsqu’il s’agit d’une connexion à l’Internet.



Chacun son trip.









Tiana87440 a écrit :



Pour toi, Windows est si dangereux que ça ?







J’aurais plutôt tendance à dire que ce qui est dangereux c’est d’être sur la plateforme la plus utilisée (ou dans le top 2: Windows, Mac OS). Si tu es sur une plateforme plus confidentielle, Freebsd par exemple, les chances que tu te fasses avoir par une méthode générique est plus faible. Après si tu es la cible, quelque soit la plateforme je pense que toutes les sécurités tomberont.



Nouveau nom Facebook :



Regin is known as ETHERNETSAILOR



<img data-src=" />









Nozalys a écrit :



“Regin”, ah cette mode de donner des noms féminins, comme pour les tempêtes, pour que ça passe mieux psychologiquement…





Un nom féminin pour toutes les calamités.. Logique, non ?



&nbsp;



tic tac a écrit :



Je suis pas étonné de voir la Belgique dans les cibles de ses attaques.



Peut être que un jour, mes édiles se rendront compte que abritant, le siège de l’ OTAN et des instances européennes, il serait peut être urgent d’ investir non seulement des budgets dans la protection informatique du pays mais plus encore (vu que l’ état belge en est un gros actionnaire) d’ allouer à notre FAI national les moyens d’ éviter de se faire sodo@&`! par n’ importe qui comme cela fut le cas récemment…





Mouais. C’est vrai que voir cibler la Belgique n’est pas étonnant.

Enfin bon, vu le bon gros pays de je-m’en-foutistes que c’est (je le sais : j’y vis) pour qui rien ne compte, t’auras beau lâcher du pognon à Belgacom, tant que les gens ne seront pas un tant soit peu sérieux sur le sujet des données personnelles et de la sécurité, rien n’y fera.



Dans ma boite (grosse boite, 10.000 personnes, leader mondial de son domaine, et boite pas américaine, je précise), c’est fou ce que je peux voir comme failles de sécurité et pratiques aberrantes….

Et toute la magie de la Belgique opère, là : notre IT nous envoie quand même des mails piège, mais même quand qqun se fait avoir 10 fois de suite, on ne fait rien. On fait un “compromis” (c’est à dire : rien). Pas de formation, pas de sanction non plus. Rien.

Tu m’etonnes que les gens continuent de faire n’imp après…



<img data-src=" />&nbsp;Con !


C’est très facile de deviner le pays qui se cache derrière ça :



le malware s’appelle “Regin”.

En inversant les lettres ça nous donne le nom d’un pays : ouaip, informatiquement trop balbutiant pour en être à l’origine.

Donc il faut inverser géographiquement la localisation : la capitale du Niger est Niamey et la seconde ville du pays est Zinder.

Or Zinder est exactement aux antipodes de Pago Pago qui est la capitale de facto (la capitale officielle (constitutionnelle) est Fagatogo) des samoa américaines.



Donc nous avons identifié le pays propriétaire de ces iles et qui en est à l’origine et surtout qui a envie d’espionner : la Russie, l’Arabie saoudite, le Mexique, l’Afghanistan, l’Iran etc …

Vous avez remarqué que les fromages qui puent ne font pas partie des pays espionnés ? Les grands bretons non plus :&nbsp; Ils sont considérés comme ne représentant pas de danger …



vous n’avez rien de plus difficile à me proposer ?


C’est ce virus que le principal FAI belge, Belgacom, vient d’identifier comme l’origine d’un important piratage dont ils ont été l’objet il y a un an:

http://www.lesoir.be/715738/article/economie/2014-11-24/logiciel-espion-qui-pira…








typhoon006 a écrit :



dans Israël y’a plus de 3 lettres&nbsp;





toi, tu n’as visiblement pas compris Zorglob, et en plus tu lui prête des traits qui sont infondés.

USB te dit il quelque chose ?!

Amateur va !









FRANCKYIV a écrit :



Gnu Linux Mint Mate en système principal connecté à Internet.

Microsoft Windows 7 virtualisé non connecté à Internet pour des programmes spécifiques (Adobe Photoshop Lightroom, Paint Shop Pro X6, etc …).



Et enfin Microsoft Windows 7 en dur non connecté à Internet pour quelques jeux.





Putain, tu joues jamais en réseau toi ?

Tu devrais essayer un jour, ça prend quand même une autre dimension.

J’dis ça pour ceux qui ne comprenne pas qu’un windows 7 non connecté a internet ne peut pas permettre le jeux en ligne !

Dsl, mais vu la foule d’abruti, je me dois de donner la précision.

Pardon pour mon hautaineté !









picatrix a écrit :



C’est très facile de deviner le pays qui se cache derrière ça :



le malware s’appelle “Regin”.

En inversant les lettres ça nous donne le nom d’un pays : ouaip, informatiquement trop balbutiant pour en être à l’origine.

Donc il faut inverser géographiquement la localisation : la capitale du Niger est Niamey et la seconde ville du pays est Zinder.

Or Zinder est exactement aux antipodes de Pago Pago qui est la capitale de facto (la capitale officielle (constitutionnelle) est Fagatogo) des samoa américaines.



Donc nous avons identifié le pays propriétaire de ces iles et qui en est à l’origine et surtout qui a envie d’espionner : la Russie, l’Arabie saoudite, le Mexique, l’Afghanistan, l’Iran etc …

Vous avez remarqué que les fromages qui puent ne font pas partie des pays espionnés ? Les grands bretons non plus :&nbsp; Ils sont considérés comme ne représentant pas de danger …



vous n’avez rien de plus difficile à me proposer ?





Merci pour cette franche rigolade <img data-src=" />









sitesref a écrit :



C’est ce virus que le principal FAI belge, Belgacom, vient d’identifier comme l’origine d’un important piratage dont ils ont été l’objet il y a un an:

http://www.lesoir.be/715738/article/economie/2014-11-24/logiciel-espion-qui-pira…





Intéressant…

La NSA, le GCHQ….









sitesref a écrit :



C’est ce virus que le principal FAI belge, Belgacom, vient d’identifier comme l’origine d’un important piratage dont ils ont été l’objet il y a un an:

http://www.lesoir.be/715738/article/economie/2014-11-24/logiciel-espion-qui-pira…







Dans ce cas, plus besoin de trop tourner autour du pot, même si on hésite toujours (diplomatie oblige) à nommer le responsable… :





Officiellement, la clarté n’est pas encore faite sur la responsabilité de l’attaque mais tout indique que le service secret américain NSA et son homologue britannique GCHQ - spécialisés dans l’interception de télécommunications - sont à l’origine de cette affaire.





Même si Belgacom avait porté plainte contre X et que le gouvernement belge avait promit toute la clarté, si cela est avéré, on peut déjà classer l’ affaire sans suite…



Avec des amis pareil c’ est clair qu’ on a plus besoin d’ ennemis ^^









typhoon006 a écrit :



dans Israël y’a plus de 3 lettres&nbsp;





<img data-src=" /> <img data-src=" />









Nozalys a écrit :



“Regin”, ah cette mode de donner des noms féminins, comme pour les tempêtes, pour que ça passe mieux psychologiquement…





Je n’ai jamais vu “Regin” en prénom dans le monde anglophone ^^;

Tu as des exemples concrets que je ne meurs pas bête ? (n’y vois pas une attaque personnelle, juste ma curiosité ^^;)









tic tac a écrit :









Ce n’est pas mieux du côté de ta frontière sud… je te rassure… ou pas ^^;

Les incapables sont aussi bien en France qu’en Belgique… et dans le reste du monde (et moi, je ne suis pas capable de faire mieux &lt;== avant les attaques)



Et dire que des clients sont insensibles quant on leur parle sécu, hacking, espionnage, cryptowall & co…<img data-src=" />








caoua a écrit :



Putain, tu joues jamais en réseau toi ?

Tu devrais essayer un jour, ça prend quand même une autre dimension.

J’dis ça pour ceux qui ne comprenne pas qu’un windows 7 non connecté a internet ne peut pas permettre le jeux en ligne !

Dsl, mais vu la foule d’abruti, je me dois de donner la précision.

Pardon pour mon hautaineté !







Nop, je ne joue jamais en ligne, et je m’en porte très bien !



Edit :

Enfin si je joue en réseau, mais pas sous Microsoft Windows …









Zorglob a écrit :



Trois lettres s’improvisent rapidement dans les esprits à la lecture de cet article.

&nbsp;

Les 3 mêmes que celles évoquées lors de l’affaire des centres nucléaires et des pays à l’est spécifiquement ciblés ?





FRA ?



J’ai pensé à la même chose. Eux ou les ricains. Stuxnet était vraiment une saloperie.


Regin :



[b]“Opérationnel depuis 2008, ce logiciel est aussi sophistiqué que Stuxnet et résulte très probablement d’un développement gouvernemental. Principaux pays visés : la Russie, l’Arabie saoudite et le Mexique.”[/b]http://www.01net.com/editorial/633486/regin-le-logiciel-d-espionnage-furtif-qui-espionne-a-tout-va/


Non, pour les noms de malwares je n’ai pas d’exemple, c’est justement pour cette première apparition que ça m’y faisait penser.

Pour les tempêtes : Xynthia, Sandy, Katrina, etc. Voir cet article : http://www.lapresse.ca/actualites/environnement/201406/02/01-4772225-au-feminin-louragan-tue-davantage.php montrant les résultats d’une étude un peu chelou, mais intéressante.

“[…] les tempêtes avec un nom de fille, spécialement celles qui portent des

noms très féminins comme Belle ou Cindy, paraissent plus douces et moins

violentes.”



Ah, le cerveau et le sexisme… <img data-src=" />








Tiana87440 a écrit :



En effet, il s’agit bien de Windows quand on regarde l’image ci-dessous.

https://kasperskycontenthub.com/securelist/files/2014/11/Regin-graph-three.png

Cette image hébergée sur le serveur de Kaspersky est citée sur le site&nbsp;https://securelist.com/ lui-même mentionné dans l’article NextINpact.





On dirait que la version 32 bits a une étape supplémentaire.



Malware conçu par les US.Ca inspire la confiance ^^


Eh be…

Tant de talents et d’énergies gachées pour seulement ça?



Il y a tellement mieux à faire que des virus qui volent des données en russie et en Arabie saoudite.



Autant je suis plus ou moins admiratif devant l’ingénierie derrière ça, autant le manque d’ambition me fait me demander si c’est bien les US ou Israël qui ont commandité ça…



Ou alors ça ressemble franchement à une manoeuvre désespérée pour casser le BRICS


Le pire des ennemis que l’on puisse avoir est un allié qui vous trahit.



&nbsp;Julian Assange, Edward Snowden, François Asselineau, la vérité triomphe toujours du mensonge, la liberté de la tyrannie.


<img data-src=" /> Bonjour,



Désolé, j’ai lancé une sorte de jeu concours et ai disparu par manque de temps, c’est honteux : merci tout de même aux contributeurs, même les plus espiègles <img data-src=" />





Perso, pour ces trois lettres, je pensais simplement à NSA (mais beaucoup l’avaient imaginé… j’en déduis que les autres ont été joueurs)

<img data-src=" />








Nozalys a écrit :



Non, pour les noms de malwares je n’ai pas d’exemple, c’est justement pour cette première apparition que ça m’y faisait penser.

Pour les tempêtes : Xynthia, Sandy, Katrina, etc. Voir cet article





Regin n’est pas vraiment féminin dans la langue anglophone ^^;



“Usage: Regin is not a popular first name. It is more often used as a boy (male) name.” (source)



Ah, je pensais pas, merci ;)


C’est le problème avec les noms anglais, qui parfois sont féminins, parfois masculins… surtout si on les prononce à la française ^^;