Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Regin, un malware modulaire spécialisé dans la collecte de données

Regin et les p’tits papiers
Logiciel 3 min
Regin, un malware modulaire spécialisé dans la collecte de données
Crédits : arunchristensen/iStock/Thinkstock

« Dans le monde des logiciels malveillants, de rares exemples peuvent vraiment être considérés comme révolutionnaires et incomparables. Ce que nous avons constaté avec Regin s’inscrit dans une telle classe de malware ». Voilà comment Symantec annonce sa découverte, communiqué et livre blanc à l’appui.

Selon l’entreprise de sécurité, Regin serait un logiciel malveillant spécialisé dans la collecte de renseignements. « Il a été impliqué dans des opérations de collectes de données visant des organisations gouvernementales, des opérateurs d’infrastructure, des entreprises, des universités et des individus » assure l’éditeur.

 

Celui-ci décrit encore un malware modulaire présentant un haut niveau de sophistication qui n’a donc pu être développé que par une équipe bien informée après des mois, voire des années de recherches. Ainsi, plus qu’un individu, c’est un pays qui pourrait être à son origine, sans que Symantec prenne le risque de désigner un État responsable.

 

Les premières formes de Regin remonteraient à 2008 en v.1, puis 2013 pour la v.2. Dans un livre blanc, Symantec prévient que les PME et les individus seraient les secteurs les plus touchés, avec celui des télécoms. Géographiquement, c’est la Russie qui intéresserait le plus Regin, suivi de près par l’Arabie saoudite, et loin derrière, l’Irlande, le Mexique, la Belgique, ou encore le Pakistan. Cependant, ce n’est évidemment pas parce que ce malware aurait été utilisé dans ces pays qu’il n’en serait pas originaire. Ce n’est ici qu’un indice pour tracer une origine géographique.

 

syùantec regin

 

 

Une approche modulaire, à la carte

Symantec affirme en tout cas que ce malware s’éloigne des menaces de type Advanced persistent threats (APTs), plus ciblées. « Regin est en effet utilisé pour la collecte de données et le monitoring de cibles organisationnelles ou individuelles », insiste l’éditeur. Ses caractéristiques modulaires rendraient en tout cas complexe sa détection, et se rapprocherait d’autres malwares comme Flamer ou Weevil. De même, son architecture serait similaire à celle du funeste Stuxnet. Parmi ses facettes, Regin inclurait des fonctionnalités de type cheval de Troie, capture d’écran, ou prise de contrôle à distance. Dans sa besace, il pourrait ainsi voler des mots de passe, surveiller le trafic réseau ou glaner des informations sur l’utilisation de la mémoire.

 

 

 

L’un de ses modules aurait par exemple été conçu pour surveiller le trafic sur les serveurs Microsoft (IIS), d’autres pour viser les stations utilisées en matière de téléphonie mobile ou les flux de données gérés par Exchange. L’opérateur qui exploite ce dispositif aurait en tout cas la possibilité d’ajouter des fonctions personnalisées en fonction des besoins ou des objectifs.

Un module dédié au contrôle des stations de base GSM

Au plan des modules activables, Kaspersky confirme pour sa part que l’un d’eux est également « capable de surveiller les contrôleurs de stations de base GSM et ainsi de collecter des données concernant des cellules GSM et l’infrastructure réseau des victimes ». Un rapport complet épaule ces affirmations via securelist.

 

Sur un pays (non cité), prévient encore l’éditeur russe, « toutes les victimes de Regin de cette région étaient reliées entre elles grâce à un réseau Peer-to-Peer de type VPN, et elles pouvaient communiquer entre elles. Ainsi, les attaquants ont transformé les organisations touchées en un vaste réseau unifié, ce qui leur a permis d’envoyer des commandes et de voler des informations depuis un seul point d’entrée. C’est ainsi qu’ils ont pu passer inaperçu pendant des années ».

Un vecteur d'infection encore inconnu

Le vecteur d’infection est encore méconnu, annonce encore Symantec, celui-ci étant dans l’incapacité de le reproduire. Dans ses hypothèses, il suggère l’exploitation d’une faille dans Yahoo Messenger. « Un exploit non confirmé » tempère l’éditeur, et pour cause on voit mal un tel logiciel installé sur une infrastructure télécom…

58 commentaires
Avatar de FRANCKYIV INpactien
Avatar de FRANCKYIVFRANCKYIV- 24/11/14 à 15:25:57

CTRL + F : Recherche "windows" : rien trouvé.

On parle bien de Windows ici ?

Avatar de Zorglob INpactien
Avatar de ZorglobZorglob- 24/11/14 à 15:31:39

Trois lettres s'improvisent rapidement dans les esprits à la lecture de cet article.
 
Les 3 mêmes que celles évoquées lors de l'affaire des centres nucléaires et des pays à l'est spécifiquement ciblés ?

Avatar de typhoon006 INpactien
Avatar de typhoon006typhoon006- 24/11/14 à 15:34:00

dans Israël y'a plus de 3 lettres 

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 24/11/14 à 15:35:31

C'est à la fois remarquable.. et flippant :fou:

Édité par jb18v le 24/11/2014 à 15:35
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 24/11/14 à 15:35:39

facebook et google aussi font de la collecte depuis des années, et on ne les considère pas comme des malwares.

Avatar de m1k4 Abonné
Avatar de m1k4m1k4- 24/11/14 à 15:36:36

(on va faire la meme blague que chez numerama hein)

Moi je sais de quel pays ca vient ! :p

Édité par m1k4 le 24/11/2014 à 15:37
Avatar de vcs2600 INpactien
Avatar de vcs2600vcs2600- 24/11/14 à 15:37:57

Vu que quasiment chaque pays développe ses logiciels-espions ultra-sophistiqués pour aller espionner les petits copains, on peut penser que les PC/smartphones des personnes importantes/influentes de ce monde doivent être infestées de Trojan ultra-furtifs. 

Celui-ci s'est fait chopper, reste les autres...

Avatar de FRANCKYIV INpactien
Avatar de FRANCKYIVFRANCKYIV- 24/11/14 à 15:38:04

Zorglob a écrit :

Trois lettres s'improvisent rapidement dans les esprits à la lecture de cet article.
 
Les 3 mêmes que celles évoquées lors de l'affaire des centres nucléaires et des pays à l'est spécifiquement ciblés ?

DTC ?!?!? :francais:

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 24/11/14 à 15:40:46

Zorglob a écrit :

Trois lettres s'improvisent rapidement dans les esprits à la lecture de cet article.
 
Les 3 mêmes que celles évoquées lors de l'affaire des centres nucléaires et des pays à l'est spécifiquement ciblés ?

PRC? RDC?

Avatar de Amnesiac INpactien
Avatar de AmnesiacAmnesiac- 24/11/14 à 15:45:11

J'aurais dit DTC moi.

Plus sérieusement, je suis entre l'admiration et la peur avec de genre de découverte.

Il n'est plus possible de commenter cette actualité.
Page 1 / 6