Des chercheurs de Symantec ont trouvé une série de malwares très élaborés probablement développés par la NSA (USA) et le GCHQ (UK). Englobé sous le nom Regin, cette backdoor a servi dans de multiples campagnes depuis au moins 2008.

C’est par une faille présente dans Yahoo! Messenger (corrigée depuis) que le cheval de Troie entrait.

Pour rester furtif le malware s’organise en 6 étapes dont chacune est chiffrée sauf la première. Ces étapes entraîne une série d’actions de type domino où le module déchiffre son code et l’exécute avant de passer à l’étape suivante.

Regine

Regin intègre un catalogue d’attaques qui va de la capture d’écran, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic ou la récupération de fichiers supprimés. Pour l’éditeur de sécurité, d’autres modules ont semble-t-il été adaptées pour des cibles particulières, comme la surveillance du trafic d’un serveur IIS de Microsoft ou le trafic des stations de base de téléphonie mobile GSM (ce qui est assez nouveau).

Les entreprises visées par Regin sont variées, mais avec une prédilection (48%) sur des PME-PMI ou des particuliers. Vient ensuite le backbone des opérateurs télécoms (28%), Regin pouvant expliquer les problèmes de sécurité de l’opérateur Belgacom. Sur les pays touchés par les attaques, la Russie et l’Arabie Saoudite représentent la majorité avec 52%. On trouve aussi des pays européens et le système d’information de l’Union européenne.
Les chercheurs de Symantec ont aussi tenté de donner une date de début des attaques avec deux échantillons, une V1 et une V2 de Regin. Le premier aurait été actif en 2008 avec un arrêt brutal et non expliqué en 2011. La V2 (en version 64 bits) a elle été utilisée à partir de 2013, mais a pu être active avant.
Le faible nombre de victimes laisse supposer des campagnes très ciblées pour obtenir des informations très précises, avec une ce qui ressemble furieusement à une nouvelle APT (Advanced Persistent Threat) avec des AET (Advanced Evasion Technique) assez sophistiquées.
Pour information nous traitons de ce sujet lors de l’actuel Briefing Calipia. Des places sont encore disponibles pour les sessions de Paris et de Lille.