Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
Le nom Regin vient de In Registry (dans le Registre) car cette infection peut cacher ses molules dans le Registre Windows.
Le terme de Virus n'est pas approprié car Regin ne dispose pas de mécanisme d'auto-réplication. Au contraire, les victimes sont soigneusement ciblées afin que l'attaque ne se répande pas n'importe-où et soit trop rapidement identifiée. Elle est déployée par les mécanismes des malveillances permettant de cibler la victime (dropper, cheval de Troie, exploitation d'une faille de sécurité, mécanismes publicitaires, pièce jointe d'e-mail, salarié acheté, intervenant externe acheté, ...)
Le virus Regin pénètre, infeste, surveille et contrôle, entre autres, les réseaux de téléphonie mobile GSM, en plus de ses autres actions d'espionnage " classiques ".
Quelques exemples de modules connus :
Analyse du courrier électronique de bases de données Microsoft Exchange
Vol de mots de passe
Manipulation d'IU (utilisation à distance de la souris, création de captures d'écran, etc.)
Collecte d'informations sur les processus et la mémoire
Investigations de faible niveau (par exemple, récupération de fichiers supprimés)
Sniffing (reniflage) du trafic réseau de faible niveau
Exfiltration de données via différents canaux (TCP, UDP, ICMP, HTTP)
Mouchard pour trafic réseau d'administration des contrôleurs des stations de base GSM
Bien que découvert en novembre 2014, il est encore en activité.
Ce que l'on appelle le Virus "RegIn" (prononcer Reg Inn - ne pas confondre avec un backdoor appelé Regin - prononcer Régine), qualifié par certain de virus le plus sophistiqué jamais développé, et qui est considéré comme fabriqué par les USA, pourrait faire partie du Sigint Enabling Project de la NSA. Regin semble avoir existé durant au moins 6 ans (peut-être 10 ou 11 ans) avant d'être découvert. Regin est mis en cause dans de nombreuses affaire d'espionnage de gouvernements, opérateurs d'infrastructures, entreprises, chercheurs et particuliers. Le virus Regin, révélé le 23 novembre 2014 par Symantec, est par exemple évoqué le 29 décembre 2014 dans une affaire d'espionnage de la Chancellerie allemande. La malveillance Regin agirait en keylogger.
En novembre 2014, Kaspersky Labs et Symantec publient tous les deux une analyse détaillée d'un logiciel appelé Regin, une boîte à outils pour malveillances soupçonnées d'être utilisées par les diverses agences gouvernementales de renseignements à des fins de cyber-espionnage. La boîte à outil Regin permet de personnaliser les charges utiles, par l'opérateur de l'attaque, en fonction de la cible et de la structure de son système de données.
Le virus Regin semble avoir été en service depuis un certain temps, avec des échantillons remontant à 2008 selon Symantec et à 2003 selon Kaspersky. Le nom Regin (pour In Registry) a été utilisé depuis 2011.
Le virus Regin semble être utilisé pour du cyber-espionnage ciblé contre certaines personnes privées (chercheurs, journalistes d'investigation, particuliers...), contre certaines personnes morales (entreprises privées, administrations, instituts de recherche, établissements scolaires, ...), contre des opérateurs d'infrastructures de télécommunications et contre des gouvernements.
Le virus Regin aurait fait 27 victimes (ce que l'on entend par " victime " peut être un opérateur d'infrastructures de télécommunications, c'est-à-dire ses millions d'utilisateurs, etc.) dans 14 pays :
Algérie
Afghanistan
Belgique
Brésil
Iles Fidji
Allemagne
Iran
Inde
Indonésie
République des Kiribati
Malaisie
Pakistan
Russie
Syrie
Selon Kaspersky, la complexité du virus Regin induit un coût de conception, développement et déploiement qui ne peut être qu'à la portée d'un état.
La compléxité et le professionnalisme du virus Regin fait qu'il est très difficile de l'attribuer à un pays en particulier, même si les Etats Unis sont fortement soupçonnés, d'autant qu'environ 1 mois après sa découverte, le virus Regin est soupçonné d'être l'une des composantes du Sigint Enabling Project de la NSA visant à casser le chiffrement des messages.
Le virus Regin est détecté sous les noms de, selon les variantes :
Trojan.Win32.Regin.gen
Rootkit.Win32.Regin.
|
|