« Dans le monde des logiciels malveillants, de rares exemples peuvent vraiment être considérés comme révolutionnaires et incomparables. Ce que nous avons constaté avec Regin s’inscrit dans une telle classe de malware ». Voilà comment Symantec annonce sa découverte, communiqué et livre blanc à l’appui.
Selon l’entreprise de sécurité, Regin serait un logiciel malveillant spécialisé dans la collecte de renseignements. « Il a été impliqué dans des opérations de collectes de données visant des organisations gouvernementales, des opérateurs d’infrastructure, des entreprises, des universités et des individus » assure l’éditeur.
Celui-ci décrit encore un malware modulaire présentant un haut niveau de sophistication qui n’a donc pu être développé que par une équipe bien informée après des mois, voire des années de recherches. Ainsi, plus qu’un individu, c’est un pays qui pourrait être à son origine, sans que Symantec prenne le risque de désigner un État responsable.
Les premières formes de Regin remonteraient à 2008 en v.1, puis 2013 pour la v.2. Dans un livre blanc, Symantec prévient que les PME et les individus seraient les secteurs les plus touchés, avec celui des télécoms. Géographiquement, c’est la Russie qui intéresserait le plus Regin, suivi de près par l’Arabie saoudite, et loin derrière, l’Irlande, le Mexique, la Belgique, ou encore le Pakistan. Cependant, ce n’est évidemment pas parce que ce malware aurait été utilisé dans ces pays qu’il n’en serait pas originaire. Ce n’est ici qu’un indice pour tracer une origine géographique.
Une approche modulaire, à la carte
Symantec affirme en tout cas que ce malware s’éloigne des menaces de type Advanced persistent threats (APTs), plus ciblées. « Regin est en effet utilisé pour la collecte de données et le monitoring de cibles organisationnelles ou individuelles », insiste l’éditeur. Ses caractéristiques modulaires rendraient en tout cas complexe sa détection, et se rapprocherait d’autres malwares comme Flamer ou Weevil. De même, son architecture serait similaire à celle du funeste Stuxnet. Parmi ses facettes, Regin inclurait des fonctionnalités de type cheval de Troie, capture d’écran, ou prise de contrôle à distance. Dans sa besace, il pourrait ainsi voler des mots de passe, surveiller le trafic réseau ou glaner des informations sur l’utilisation de la mémoire.
L’un de ses modules aurait par exemple été conçu pour surveiller le trafic sur les serveurs Microsoft (IIS), d’autres pour viser les stations utilisées en matière de téléphonie mobile ou les flux de données gérés par Exchange. L’opérateur qui exploite ce dispositif aurait en tout cas la possibilité d’ajouter des fonctions personnalisées en fonction des besoins ou des objectifs.
Un module dédié au contrôle des stations de base GSM
Au plan des modules activables, Kaspersky confirme pour sa part que l’un d’eux est également « capable de surveiller les contrôleurs de stations de base GSM et ainsi de collecter des données concernant des cellules GSM et l’infrastructure réseau des victimes ». Un rapport complet épaule ces affirmations via securelist.
Sur un pays (non cité), prévient encore l’éditeur russe, « toutes les victimes de Regin de cette région étaient reliées entre elles grâce à un réseau Peer-to-Peer de type VPN, et elles pouvaient communiquer entre elles. Ainsi, les attaquants ont transformé les organisations touchées en un vaste réseau unifié, ce qui leur a permis d’envoyer des commandes et de voler des informations depuis un seul point d’entrée. C’est ainsi qu’ils ont pu passer inaperçu pendant des années ».
Un vecteur d'infection encore inconnu
Le vecteur d’infection est encore méconnu, annonce encore Symantec, celui-ci étant dans l’incapacité de le reproduire. Dans ses hypothèses, il suggère l’exploitation d’une faille dans Yahoo Messenger. « Un exploit non confirmé » tempère l’éditeur, et pour cause on voit mal un tel logiciel installé sur une infrastructure télécom…
