Regin, l'un des Malwares les plus sophistiqués qu'on ait vu sur le marché

malware-regin

Symantec nous apprend qu’un Malware connu comme Regin a été utilisé pour lancer des campagnes d’espionnage contre de nombreuses cibles depuis 2008. Regin est un cheval de Troie de type Back Door et c’est un Malware très complexe avec un niveau technique qu’on a rarement vu sur le marché. Il est entièrement personnalisable avec des fonctionnalités qui peuvent varier selon les cibles. Cela permet à ses développeurs d’avoir un Framework pour créer une surveillance de masse qui peut cibler des organisations gouvernementales, des opérateurs d’infrastructures, des hommes d’affaire, des chercheurs et des particuliers.

Selon Symantec, le développement de Regin a dû prendre des mois sinon des années. Et les développeurs ont tout fait pour effacer leurs traces. Au vu des ressources utilisés et des compétences, Regin est sans aucun doute un Malware qui a été développé par un Etat.

Regin est une menace à plusieurs niveaux et chaque niveau est caché et crypté sauf pour le premier niveau. Le lancement de la première étape déclenche un effet de domino de décryptage et de chargement de la prochaine étape. Regin peut fonctionner au total sur 5 étapes. Et chaque étape ne donne qu’une partie de la menace globale. C’est en découvrant les 5 étapes ensemble qu’on peut comprendre la totalité et la nature de la menace.

regin_1

Regin utilise également une approche modulaire lui permettant de charger des options personnalisés selon la cible. Cette approche a déjà été vue sur des familles de Malware tels que Flamer ou Weevil. Et le chargement et le décryptage en plusieurs niveaux est similaire à des Malwares tels que Stuxnet ou Duqu.

Les attaques via Regin ont été observés dans de nombreuses organisations entre 2008 et 2011. Il a soudainement disparu par la suite et il est réapparut en 2013. Les cibles incluent des compagnies privés, des entités gouvernementales et des instituts de recherche. La moitié des attaques par Regin ciblait les particuliers et les petites entreprises. On a également des attaques sur des compagnies de Telecom pour accéder aux appels qui sont routés sur leurs infrastructures.

Regin a visé principalement 10 pays qui sont :

  • La Russie
  • L’Arabie Saoudite
  • Le Mexique
  • L’Irlande
  • L’Inde
  • L’Afghanistan
  • L’Iran
  • La Belgique
  • L’Autriche
  • Le Pakistan

 

Infection via le Web et Yahoo Messenger

Les cibles ont été infectés par Regin avec du Phishing en utilisant des sites populaires. Symantec a également trouvés des Logs avec une infection provenant de Yahoo Messenger. Les fonctionnalités découvertes jusqu’à présent dans Regin montre un degré de compétence très élevé et la certitude que des spécialistes du secteur d’espionnage ont travaillés dessus. Et Regin peut lancer des dizaines de Payload tels que capturer l’écran, voler des mots de passe, restaurer des fichiers cachés, prendre le contrôle de la souris et analyser le trafic réseau.

La furtivité impressionnante de Regin

Symantec pointe également le fait que Regin possède un niveau de furtivité impressionnant. Il est conçu pour laisser le minimum de trace et les différentes étapes cryptés aggravent les choses. En fait, même si on découvre Regin sur un ordinateur, on ne saura pas ce qu’il fait à cause de cette furtivité.

Parmi les options de furtivité, Regin possède son propre système de fichier crypté (EVFS) et une variante de la norme de cryptage RC5. Et Regin anonymise totalement les communications avec ses développeurs en utilisant l’ICMP/Pint, l’inclusion de commandes sur les cookies HTTP et des protocoles personnalisés HTTP et UDP.

Source

Publicités