Regin (logiciel malveillant) - Regin (malware)

Pour le nain nordique, voir Regin (mythologie nordique) .
Voir aussi: WARRIOR PRIDE

Regin (également connu sous le nom de Prax ou QWERTY ) est une boîte à outils sophistiquée contre les logiciels malveillants et le piratage utilisé par la National Security Agency (NSA) des États-Unis et son homologue britannique, le Government Communications Headquarters (GCHQ). Il a été révélé publiquement pour la première fois par Kaspersky Lab , Symantec et The Intercept en novembre 2014. Le malware cible des utilisateurs spécifiques d' ordinateurs Microsoft Windows et a été lié à l'agence de renseignement américaine NSA et à son homologue britannique, le GCHQ . The Intercept a fourni des échantillons de Regin à télécharger, y compris des logiciels malveillants découverts chez un fournisseur de télécommunications belge, Belgacom . Kaspersky Lab affirme avoir pris connaissance de Regin pour la première fois au printemps 2012, mais certains des premiers échantillons datent de 2003. (Le nom Regin est trouvé pour la première fois sur le site Web de VirusTotal le 9 mars 2011.) Parmi les ordinateurs infectés dans le monde par Regin, 28% l'étaient. en Russie , 24 pour cent en Arabie saoudite , 9 pour cent chacun au Mexique et en Irlande , et 5 pour cent en Inde , en Afghanistan , en Iran , en Belgique , en Autriche et au Pakistan .

Kaspersky a déclaré que les principales victimes du malware étaient des particuliers, des petites entreprises et des sociétés de télécommunications . Regin a été comparé à Stuxnet et on pense qu'il a été développé par «des équipes de développeurs disposant de ressources suffisantes», peut-être un gouvernement occidental , en tant qu'outil de collecte de données polyvalent ciblé.

Selon Die Welt , les experts en sécurité de Microsoft lui ont donné le nom de «Regin» en 2011, après le rusé nain nordique Regin .

Opération

Regin utilise une approche modulaire lui permettant de charger des fonctionnalités qui correspondent exactement à la cible, permettant un espionnage personnalisé. Sa conception le rend parfaitement adapté aux opérations de surveillance de masse persistantes et à long terme contre des cibles.

Regin est furtif et ne stocke pas plusieurs fichiers sur le système infecté; à la place, il utilise son propre système de fichiers virtuels chiffrés (EVFS) entièrement contenu dans ce qui ressemble à un fichier unique avec un nom inoffensif pour l'hôte, dans lequel les fichiers sont identifiés uniquement par un code numérique, pas un nom. L'EVFS utilise une variante de chiffrement du chiffrement RC5 rarement utilisé . Regin communique sur Internet en utilisant ICMP / ping , des commandes intégrées dans des cookies HTTP et des protocoles TCP et UDP personnalisés avec un serveur de commande et de contrôle qui peut contrôler les opérations, télécharger des charges utiles supplémentaires , etc.

Identification et dénomination

Symantec affirme que Kaspersky et lui-même ont identifié le malware comme étant Backdoor.Regin . La plupart des programmes antivirus, y compris Kaspersky, (en octobre 2015) n'identifient PAS l'échantillon de Regin publié par The Intercept comme un malware. Le 9 mars 2011, Microsoft a ajouté des entrées connexes à son encyclopédie des logiciels malveillants; plus tard, deux autres variantes, Regin.B et Regin.C ont été ajoutées. Microsoft semble appeler les variantes 64 bits de Regin Prax.A et Prax.B . Les entrées Microsoft ne contiennent aucune information technique. Kaspersky et Symantec ont tous deux publié des livres blancs contenant des informations sur le malware.

Attaques connues et créateur de malwares

Magazine de nouvelles allemand Der Spiegel a rapporté en Juin 2013 que les Etats - Unis renseignement National Security Agency (NSA) avait effectué une surveillance en ligne , sur l' Union européenne des citoyens et des institutions de l' UE (UE). Les informations proviennent de documents secrets obtenus par l'ancien travailleur de la NSA Edward Snowden . Les deux Der Spiegel et le Intercept cite un secret 2010 Document NSA indiquant qu'il a fait des cyberattaques cette année, sans préciser le programme malveillant utilisé contre les représentations diplomatiques de l' UE à Washington, DC et ses représentations auprès des Nations Unies . Des signes identifiant le logiciel utilisé comme Regin ont été trouvés par les enquêteurs sur des machines infectées.

The Intercept a rapporté qu'en 2013, le GCHQ britannique avait attaqué Belgacom , la plus grande entreprise de télécommunications de Belgique. Ces attaques ont peut-être amené Regin à attirer l'attention des sociétés de sécurité. Sur la base d'une analyse effectuée par la société de sécurité informatique Fox IT, Der Spiegel a rapporté en novembre 2014 que Regin est un outil des agences de renseignement britanniques et américaines. Fox IT a trouvé Regin sur les ordinateurs d'un de ses clients, et selon leur analyse, des parties de Regin sont mentionnées dans le catalogue NSA ANT sous les noms "Straitbizarre" et "Unitedrake". Fox IT n'a pas nommé le client, mais Der Spiegel a mentionné que parmi les clients de Fox IT se trouve Belgacom et a cité le responsable de Fox IT, Ronald Prins, qui a déclaré qu'ils ne sont pas autorisés à parler de ce qu'ils ont trouvé dans le réseau de Belgacom.

En décembre 2014, le journal allemand Bild a rapporté que Regin avait été retrouvé sur une clé USB utilisée par un membre du personnel de la chancelière Angela Merkel . Les vérifications de tous les ordinateurs portables haute sécurité de la chancellerie allemande n'ont révélé aucune infection supplémentaire.

Regin a été utilisé en octobre et novembre 2018 pour pirater l'unité de recherche et développement de Yandex .

Voir également

Les références

Liens externes