Regin : le nouveau super-malware discret mais puissant

Via Wired, TheRegister :

Le malware Regin c’est la dernière super-bestiole électronique utilisée dans des attaques ciblées et dont le niveau technique n’a pas à rougir devant les Flame, Duqu et autres Stuxnet.

La première version récupérée de ce malware remonte à… 2008. Les boîtes antivirales étant surchargées de taff et le malware étant discret et très complexe, les reversers qui se sont penchés sur les fichiers composants la bête à l’époque n’ont pas pu avoir une vision globale du malware (qui est composé de nombreux fichiers dont une mise en place en 5 étapes…)

Le malware Regin a quelques victimes d’importance à son tableau de chasse : le cryptographe belge Jean-Jaques Quisquater et l’intrusion chez Belgacom en septembre 2013 qui a été révélée par Snowden comme étant une opération conjointe de la NSA et du GCHQ.

Là où ça fait mal c’est que le spyware a été utilisé pour attaquer la Comission Européenne en 2011 mettant ainsi l’Angleterre dans une posture délicate… Petites cyber-attaques entre amis :p

L’une des fonctionnalités particulières de Regin c’est la possibilité d’accèder à des stations de base GSM une fois des identifiants volés. Cette fonctionnalité aurait servi pour des pays du moyen-orient.
L’Afghanistan est l’une des victimes probables. Les nom du ou des pays concernés n’ont pas été révélés.

Regin fait une forte utilisation des conteneurs chiffrés de Windows (EVFS) et dissimulent même ses fichiers chiffrés dans les attributs étendus du système NTFS.
Il dispose de fonctions trouvables sur de bons trojans (sniffer, keylogger, capture d’écran) mais apporte en plus des fonctions d’inforensique en étant capable de récupérer des fichiers effacés.

Enfin il a un modèle unique d’exfiltration de données via différents protocoles (TCP, UDP, ICMP, HTTP…) et il dispose d’un système peer-to-peer permettant de centraliser l’exfiltration des données via un point unique sur un réseau local. De cette manière il réduit au maximum les risques d’être détecté.

Tout ceci est décrit dans le rapport de Symantec sur le sujet.

3 réflexions au sujet de « Regin : le nouveau super-malware discret mais puissant »

Les commentaires sont fermés.