Regin, le super malware de la NSA et du GCHQ qui a espionné l’Union Européenne
D’après The Intercept, le logiciel malveillant mis au jour hier par Symantec serait l’œuvre des services de renseignement américain et britannique. Et aurait servi à espionner les institutions européennes.
Si la paternité du malware reste une énigme, les soupçons se tournent donc en premier lieu vers les USA et la Grande Bretagne. La similarité de Regin avec les architectures déjà observées lors de l’analyse de malware tels que Stuxnet ou Duqu ne plaident pas en la faveur de leur innocence.
On en sait un peu plus sur Regin, l’incroyable malware que Symantec estime être l’un des plus sophistiqués de l’histoire. D’après The Intercept, ce serait Regin qui aurait permis aux agences de renseignement américaine et britannique d’espionner l’opérateur Belgacom et par ce biais l’Union européenne.
Le malware aurait en effet été découvert sur plusieurs machines du système informatique de l’opérateur belge, selon les informations du site. Or on soupçonne fortement le GCHQ d’avoir été à l’origine d’une surveillance massive de Belgacom, qui a la particularité d’être un des opérateurs officiels de la Commission et du Parlement européen, ainsi que du Conseil de l’Union européenne.
Interviewé par The Intercept, Ronald Prins est un expert en sécurité qui a aidé à supprimer le logiciel espion des réseaux de Belgacom. Et il est certain qu’il a eu affaire à Regin lorsqu’il a pratiqué leur nettoyage. « Après avoir analysé ce malware et regardé les documents Snowden, je suis convaincu que Regin est utilisé par les services de renseignement américain et britannique » a-t-il confié au site.
The Intercept propose Regin au téléchargement... pour analyse
Comme nous le décrivions à l’époque dans notre article consacré à « Socialist », le nom de l’opération de surveillance de Belgacom, l’attaque a d’abord consisté à orienter les utilisateurs des machines cibles vers de fausses pages Web, notamment des profils LinkedIn vérolés, depuis lesquels le malware –Regin, donc- était téléchargé.
Toujours d’après le site fondé par Glenn Greenwald, le développement de Regin remonte à très loin. Cela ferait plus de dix ans qu’il serait en développement, puisqu’on retrouve la trace de certains de ses composants en 2003.
The Intercept propose également à tous ses lecteurs de… télécharger Regin, afin que les chercheurs en sécurité puissent analyser en profondeur le code de ce drôle de virus.
On rappelle que Belgacom est loin d’avoir été la seule cible de Regin, dont Symantec a trouvé des traces dans une dizaine de pays.
Regin est un malware complexe dont les premières apparitions remontent selon Symantec à 2008. Les cibles visées par le programme sont essentiellement des PME et petites entreprises (48% des infections repérées par Symantec) mais aussi des backbones Internet d’opérateur télécom (28%) principalement en Russie et en Arabie Saoudite. Tout comme Stuxnet, l’architecture du malware est complexe et ses capacités sont modulaires : Regin peut adapter ses fonctionnalités en fonction de la cible infectée par le programme.
Symantec rapporte avoir découvert une douzaine de modules, permettant d’utiliser Regin comme un RAT (Remote Access Trojan) permettant de prendre le contrôle à distance du poste infecté, mais l’entreprise évoque également d’autres fonctionnalités plus spécifiques à certains systèmes. Les vecteurs de transmissions de Regin sont pour l’instant inconnus, Symantec n’est pas parvenu à identifier exactement les méthodes employées par Regin mais évoque une infection possible via un site web contrefait dans le cadre de l’Operation Socialist contre le système d’information de Belgacom ou un cas d’infection via un exploit encore non identifié dans l’application Yahoo Instant Messenger.
From : the Intercept ,01 Informatique ,...........