Regin, le super-logiciel espion de la NSA ?
Les chercheurs de Symantec ont récemment découvert Regin, un logiciel espion dont la sophistication renvoie à Stuxnet. Selon The Independant, il serait l’œuvre de la NSA et de son homologue britannique.
Un logiciel malveillant très avancé, dont le développement aurait nécessaire des compétences de pointe, et qui serait utilisé depuis au moins 2008 pour espionner des organisations du monde entier. Il s’agit de Regin, un cheval de Troie complexe qui présente tous les signe d’une opération soutenue par un Etat-nation – sinon plusieurs –, dont Symantec a annoncé la découverte ce dimanche 23 novembre. Ce logiciel malveillant semble ainsi avoir été utilisé pour espionner des organisations gouvernementales, des opérateurs d’infrastructures critiques, des entreprises, des chercheurs, et même des particuliers.
Une structure complexe et modulaire
Regin se distingue par un niveau de furtivité élevé, marqué des efforts considérables pour masquer ses traces. Ce qui en fait un outil de choix pour des attaques persistantes avancées, de long haleine, sur des cibles très précises. Selon les chercheurs de Symantec, une fois que Regin a été détecté, il est très difficile de retracer l’historique de ses activités. Il utilise par exemple un système de fichiers chiffrés conçu sur-mesure, et de nombreux moyens pour dissimuler ses communications avec ses opérateurs.
Selon les chercheurs, c’est une menace à étages multiples, tous chiffrés à l’exception du premier qui se charge, après infection de déclencher une chaîne complexe de déchiffrement et de chargement des autres étages – 5 au total. Chaque étage, pris indépendamment des autres, fournit peu d’information sur l’ensemble. L’analyse de Regin a donc nécessité la collecte des cinq étages.
Regin est en outre hautement personnalisable, ce qui permet d’adapter ses capacités aux cibles visées, et fournit à ses contrôleurs un framework puissant de surveillance de masse.
Cette approche modulaire rappelle d’autres plateformes de logiciels malveillants, à commencer par Duqu, dont provient Stuxnet et sa proche cousine Flame, mais aussi, plus récemment, Gauss, créée « probablement mi-2011 », indiquait Kaspersky en août 2012. Gauss serait, selon l’éditeur russe, basé sur celle dont est issu Flame, « de la même manière que Duqu était basé sur la plateforme Tilded sur laquelle Stuxnet a été développé. » Aujourd’hui, Kaspersky indique que Regin rappelle, par certains aspects, Uroburos, mais « dans son implémentation, ses méthodes de programmation, ses plugins, ces techniques furtives et sa flexibilité, Regin surpasse Turla (Uroburos) comme l’une des plateformes d’attaque les plus sophistiques que nous ayons jamais analysé. » Selon l’éditeur, certains marqueurs chronologiques remontent à… 2003.
Un large éventail de capacités
Certaines charges utiles s’avèrent très avancées et montre un niveau d’expertise élevé dans différents secteurs. Selon les chercheurs, il faut y voir une preuve supplémentaire de l’importance des ressources nécessaires au développement de Regin.
Les chercheurs ont ainsi observé des fonctionnalités telles que la réalisation de captures d’écran, la prise de contrôle des fonctions de la souris, le vol de mots de passe, la surveillance du trafic réseau, ou encore la restauration de fichiers effacés.
Certains modules spécifiques ont également été découverts, tels qu’un système de surveillance du trafic Web sur Microsoft IIS, ou encore un dispositif de captation du trafic sur les contrôleurs de stations de base de téléphonie mobile. Les chercheurs estiment qu’il reste probablement de nombreux composants à découvrir.
Des cibles variées mais précises
Des infections par Regin auraient été observées dans diverses organisations entre 2008 et 2011, date à laquelle le logiciel malveillant semble avoir temporairement cessé d’être actif. Une nouvelle version est apparue en 2013 et un chercheur aurait été, selon Kaspersky, infecté débu 2014. Près de la moitié des infections observées ont visé des individus et des PME.
Les attaques sur les opérateurs télécoms ont compté pour 28 % des infections et semblent avoir conçues pour accéder aux appels routés via leurs infrastructures. La Russie compte parmi les régions les plus visées (28 %), devant l’Arabie Saoudite (24 %), l’Irlande (9 %) et le Mexique (9 %). Ces pays sont suivis par l’Inde, l’Afghanistan, l’Iran, la Belgique, l’Autriche, et le Pakistant.
Le vecteur d’infection varie selon les cibles, mais Symantec estime que certaines victimes peuvent avoir été piégées par des versions frauduleuses de sites Web connus, le logiciel malveillant ayant été installé à cette occasion via le navigateur Web ou en exploitant une application. Sur un ordinateur, les fichiers logs ont montré que Regin avait été transmis via Yahoo Instant Messenger, grâce à un exploit non confirmé.
Mais l’approche modulaire du logiciel permet à ses contrôleurs d’adapter le mode d’infection à leurs cibles.
La main de la NSA et du GCHQ
Autant d’éléments qui plaident donc en faveur d’efforts soutenus par un ou plusieurs Etats-nations. Et pour The Intercept, cela ne fait pas de doute : Regin est l’œuvre des agences du renseignement des Etats-Unis, la NSA, et du Royaume-Uni, le GCHQ. Selon nos confrères, ce logiciel malveillant a été notamment utilisé pour espionner l’Union Européenne et l’opérateur Belgacom : « ces sources proches des enquêtes internes chez Belgacom et à la Commission Européenne ont confirmé à The Intercept que le logiciel Regin a été découvert sur leurs systèmes après qu’ils ont été compromis, liant le logiciel espion aux opérations secrètes du GCHQ et de la NSA. » Un expert de Fox IT, qui a participé au nettoyage du système d’information de Belgacom, assure en outre avoir observé là « le logiciel malveillant le plus sophistiqué » qu’il ait jamais étudié. Pour autant, l’opérateur s’est refusé à commenter spécifiquement le sujet.
En partenariat avec ComputerWeekly.