Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Regin (virus Regin) - 10 ans d'activité avant d'être découvert

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
29.12.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Implication probable du virus Regin dans Sigint Enabling Project de la NSA

Regin (virus Regin) - 10 ans d'activité avant d'être découvert

Regin (virus Regin) - 10 ans d'activité avant d'être découvertRegin (virus Regin) - 10 ans d'activité avant d'être découvertRegin (virus Regin) - 10 ans d'activité avant d'être découvert

Implication probable du virus Regin dans Sigint Enabling Project de la NSA

Le nom Regin vient de In Registry (dans le Registre) car cette infection peut cacher ses molules dans le Registre Windows.

Le terme de Virus n'est pas approprié car Regin ne dispose pas de mécanisme d'auto-réplication. Au contraire, les victimes sont soigneusement ciblées afin que l'attaque ne se répande pas n'importe-où et soit trop rapidement identifiée. Elle est déployée par les mécanismes des malveillances permettant de cibler la victime (dropper, cheval de Troie, exploitation d'une faille de sécurité, mécanismes publicitaires, pièce jointe d'e-mail, salarié acheté, intervenant externe acheté, ...)

Le virus Regin pénètre, infeste, surveille et contrôle, entre autres, les réseaux de téléphonie mobile GSM, en plus de ses autres actions d'espionnage " classiques ".

Quelques exemples de modules connus :

  • Analyse du courrier électronique de bases de données Microsoft Exchange

  • Vol de mots de passe

  • Manipulation d'IU (utilisation à distance de la souris, création de captures d'écran, etc.)

  • Collecte d'informations sur les processus et la mémoire

  • Investigations de faible niveau (par exemple, récupération de fichiers supprimés)

  • Sniffing (reniflage) du trafic réseau de faible niveau

  • Exfiltration de données via différents canaux (TCP, UDP, ICMP, HTTP)

  • Mouchard pour trafic réseau d'administration des contrôleurs des stations de base GSM

Bien que découvert en novembre 2014, il est encore en activité.

Ce que l'on appelle le Virus "RegIn" (prononcer Reg Inn - ne pas confondre avec un backdoor appelé Regin - prononcer Régine), qualifié par certain de virus le plus sophistiqué jamais développé, et qui est considéré comme fabriqué par les USA, pourrait faire partie du Sigint Enabling Project de la NSA. Regin semble avoir existé durant au moins 6 ans (peut-être 10 ou 11 ans) avant d'être découvert. Regin est mis en cause dans de nombreuses affaire d'espionnage de gouvernements, opérateurs d'infrastructures, entreprises, chercheurs et particuliers. Le virus Regin, révélé le 23 novembre 2014 par Symantec, est par exemple évoqué le 29 décembre 2014 dans une affaire d'espionnage de la Chancellerie allemande. La malveillance Regin agirait en keylogger.

Virus Regin

En novembre 2014, Kaspersky Labs et Symantec publient tous les deux une analyse détaillée d'un logiciel appelé Regin, une boîte à outils pour malveillances soupçonnées d'être utilisées par les diverses agences gouvernementales de renseignements à des fins de cyber-espionnage. La boîte à outil Regin permet de personnaliser les charges utiles, par l'opérateur de l'attaque, en fonction de la cible et de la structure de son système de données.

Le virus Regin semble avoir été en service depuis un certain temps, avec des échantillons remontant à 2008 selon Symantec et à 2003 selon Kaspersky. Le nom Regin (pour In Registry) a été utilisé depuis 2011.

Le virus Regin semble être utilisé pour du cyber-espionnage ciblé contre certaines personnes privées (chercheurs, journalistes d'investigation, particuliers...), contre certaines personnes morales (entreprises privées, administrations, instituts de recherche, établissements scolaires, ...), contre des opérateurs d'infrastructures de télécommunications et contre des gouvernements.

  • 28% des cibles de Regin se trouvent dans le secteur des télécommunications
  • Regin est utilisé contre les opérateurs de téléphonie mobile pour collecter les informations des journaux de gestion des réseaux
  • La capture d'un fichier journal, à partir d'une borne d'accès GSM, a été trouvée sur l'un des appareils infectés par le virus Regin
23.11.2014 - Symantec - Regin: Top-tier espionage tool enables stealthy surveillance
24.11.2014 - Kaspersky - Regin: a malicious platform capable of spying on GSM networks
24.11.2014 - SecureList - Regin: nation-state ownage of GSM networks
24.11.2014 - Theintercept - Secret Malware in European Union Attack Linked to U.S. and British Intelligence
27.01.2015 - Spiegel - Experts Unmask 'Regin' Trojan as NSA Tool

Le virus Regin aurait fait 27 victimes (ce que l'on entend par " victime " peut être un opérateur d'infrastructures de télécommunications, c'est-à-dire ses millions d'utilisateurs, etc.) dans 14 pays :

  • Algérie

  • Afghanistan

  • Belgique

  • Brésil

  • Iles Fidji

  • Allemagne

  • Iran

  • Inde

  • Indonésie

  • République des Kiribati

  • Malaisie

  • Pakistan

  • Russie

  • Syrie

Regin (virus Regin) - 10 ans d'activité avant d'être découvert
Regin (virus Regin) - 10 ans d'activité avant d'être découvert

Regin (virus Regin) - 10 ans d'activité avant d'être découvert
Regin (virus Regin) - 10 ans d'activité avant d'être découvert

Selon Kaspersky, la complexité du virus Regin induit un coût de conception, développement et déploiement qui ne peut être qu'à la portée d'un état.

La compléxité et le professionnalisme du virus Regin fait qu'il est très difficile de l'attribuer à un pays en particulier, même si les Etats Unis sont fortement soupçonnés, d'autant qu'environ 1 mois après sa découverte, le virus Regin est soupçonné d'être l'une des composantes du Sigint Enabling Project de la NSA visant à casser le chiffrement des messages.

Le virus Regin est détecté sous les noms de, selon les variantes :

  • Trojan.Win32.Regin.gen

  • Rootkit.Win32.Regin.