Sommes-nous face à une menace de l'ampleur des virusvirus Stuxnet et Flame voire pire ? Symantec vient de révéler l'existence d'un nouveau logiciellogiciel malveillant nommé Regin qu'il décrit comme un outil furtif dédié à la surveillance de massemasse. L'éditeur de solutions de sécurité affirme que ce cheval de Troiecheval de Troie a été utilisé pour espionner des organismes gouvernementaux, des entreprises, des opérateurs d'infrastructures (fournisseurs d'accès InternetInternet, opérateurs réseaux et télécoms), des centres de R&D ainsi que des individus travaillant dans des secteurs clé, comme l'aéronautique ou l'énergieénergie.
Il serait en activité depuis 2008 et démontre « un degré de compétence technique rarement vu ». Le développement de Regin a pu prendre des mois, voire des années. Selon Symantec, ses capacités et le niveau de ressources nécessaires à sa mise en œuvre laissent penser qu'il a pu être conçu et lancé par un État. La discrétion de Regin fait que ce malware pourrait servir à des campagnes d'espionnage sur plusieurs années. Ce logiciel espionlogiciel espion est configurable en fonction de la cible et « fournit à ceux qui le contrôlent un moyen puissant pour de la surveillance de masse », ajoute Symantec.
Décrit comme un outil servant à la surveillance de masse, Regin vise principalement de petites entreprises, des individus travaillant dans des secteurs clés (aéronautique, énergie...) et des opérateurs des télécoms. Le secteur hôtelier est aussi ciblé, vraisemblablement pour pouvoir suivre les déplacements de certaines cibles. © Symantec
Une installation en cinq étapes
La structure de Regin est très complexe. Elle se déroule en cinq étapes, chacune étant chiffrée et indétectable. Comparant l'installation du malwaremalware à une chaîne de dominos, Symantec explique que la première phase lance un processus dans lequel chaque étape prépare et exécute la suivante. Prise individuellement, une étape ne livre que peu d'informations sur et il faut parvenir à rassembler les cinq étapes pour pouvoir analyser et comprendre le fonctionnement de l'ensemble. « Même lorsque sa présence est détectée, il est très difficile de déterminer ce qu'il fait », reconnaît l'éditeur.
Il souligne que cette structure distribuée est similaire à celle employée par des virus comme Duqu et Stuxnet. Elle peut être adaptée pour changer les fonctions du malware selon la cible visée. Il sait notamment faire des captures d'écrancaptures d'écran, contrôler une souris d'ordinateurordinateur, dérober des mots de passemots de passe, surveiller le trafic d'un réseau et récupérer des fichiers effacés. La méthode de propagation de Regin est dans certains cas assez classique, puisqu'elle se fait en attirant la victime sur une version contrefaite d'un site Internet connu ou par injection directe via une clé USBUSB.
Pour se camoufler, Regin emploie plusieurs techniques avec notamment, un système de chiffrementchiffrement EFS virtuel, des commandes http logées dans des cookiescookies et des protocolesprotocoles de communication TCP et UDP personnalisés. Symantec a observé un début d'activité en 2008. À partir de 2011 le virus informatique disparaît des écrans radars, avant de réapparaître dans une nouvelle version en 2013. Les cibles de Regin sont certains particuliers et des petites entreprises (48 %), des infrastructures télécoms (28 %) ainsi que le secteur hôtelier. Dans ce dernier cas, le but est vraisemblablement de pouvoir suivre les déplacements de certaines personnes.
Symantec a également identifié la propagation géographique de Regin. Le malware a sévi principalement en Russie (28 %), en Arabie saoudite (24 %), au Mexique (9 %), en Irlande (9 %) et en Inde (5 %). Ce redoutable espion n'a semble-t-il pas encore livré tous ses secrets. « Symantec pense que beaucoup de composants de Regin n'ont pas été découverts et d'autres fonctionnalités et versions peuvent exister », conclut l'éditeur. À suivre donc....
Comparatifs et bons plans
Tech
Tech
La perceuse-visseuse à percussion Makita profite d'une remise de 41%
Maison
Jardin
Gardena SILENO : le robot tondeuse haut de gamme à prix cassé
Tech
Tech
L'iPhone 14 (128 Go) à prix réduit : l'offre à ne pas manquer chez Amazon
Tech
oreillette bluetooth
Les oreillettes bluetooth en test - voir ici !
Tech
smartphone
Les smartphones - comparez-les facilement
Tech
carte mère
Nouvelles cartes mères ? Notre avis
Tech
forfaits sans engagement
Les meilleurs forfaits mobiles sans engagement
par Marc Zaffagni
le 24 novembre 2014
au sommaire
Comparatifs et bons plans
Tech
Tech
La perceuse-visseuse à percussion Makita profite d'une remise de 41%
Maison
Jardin
Gardena SILENO : le robot tondeuse haut de gamme à prix cassé
Tech
Tech
L'iPhone 14 (128 Go) à prix réduit : l'offre à ne pas manquer chez Amazon
Tech
oreillette bluetooth
Les oreillettes bluetooth en test - voir ici !
Tech
smartphone
Les smartphones - comparez-les facilement
Tech
carte mère
Nouvelles cartes mères ? Notre avis
Tech
forfaits sans engagement
Les meilleurs forfaits mobiles sans engagement
