Le logiciel malveillant Regin serait bien l’œuvre de la NSA

Un échantillon de code malicieux publié par The Spiegel, et attribué à la NSA, s’avère être un composant conçu pour fonctionner avec la plateforme Regin.

Regin est un logiciel malveillant très avancé dont le développement aurait nécessité des compétences de pointe, et qui serait utilisé depuis au moins 2008 pour espionner des organisations du monde entier. Ce cheval de Troie complexe présente tous les signes d’une opération soutenue par un Etat-Nation – sinon plusieurs –, selon Symantec qui a annoncé la découverte le 23 novembre dernier.

Ce logiciel malveillant semble avoir été utilisé pour espionner des organisations gouvernementales, des opérateurs d’infrastructures critiques, des entreprises, des chercheurs, et même des particuliers.

Regin se distingue par un niveau de furtivité élevé, marqué des efforts considérables pour masquer ses traces. Ce qui en fait un outil de choix pour des attaques persistantes avancées, de longue haleine, sur des cibles très précises. Selon les chercheurs de Symantec, une fois que Regin a été détecté, il est très difficile de retracer l’historique de ses activités. Il utilise par exemple un système de fichiers chiffrés conçu sur-mesure, et de nombreux moyens pour dissimuler ses communications avec ses opérateurs.

La main de la NSA

Lors de la découverte de Regin, Kaspersky soulignait des ressemblances avec Uroburos, tout en soulignant que « dans son implémentation, ses méthodes de programmation, ses plug-ins, ses techniques furtives, et sa flexibilité, Regin surpasse Turla (Uroburos) comme l’une des plateformes d’attaque les plus sophistiquées que nous ayons jamais analysées ». Certains marqueurs chronologiques remonteraient à… 2013.

Déjà, en novembre dernier, The Intercept estimait que Regin était l’œuvre de la NSA et de son homologue et partenaire britannique, le GCHQ. Ces affirmations semblent aujourd’hui confortées. Plus tôt, en janvier, Der Spiegel a publié le code source d’un échantillon de logiciel malveillant exfiltré des disques durs de la NSA par Edward Snowden.

Kasperky s’est penché sur ce code source, pour le comparer à un module d’interception des frappes claviers de la plateforme Regin. Les conclusions de l’éditeur sont sans appel : « notre analyse du logiciel malveillant Qwerty publié par Der Spiegel indique qu’il s’agit d’un plug-in conçu pour fonctionner avec la plateforme Regin. […] Il ne fonctionne pas comme un module autonome, il s’appuie sur des fonctions fournies par le module 50225 de Regin. […] les développeurs du logiciel malveillant Qwerty et ceux de Regin sont les mêmes ou travaillent ensemble ».

Et nos confrères de conclure que Regin semble donc avoir notamment été utilisé contre l’opérateur Belgacom, contre la Commission Européenne en 2011, contre l’Agence internationale à l’énergie atomique, et contre plusieurs membres du gouvernement allemand.

Quant à Kasperky, il estimait récemment que « Regin est probablement déjà retiré du service et a été remplacé par de nouveaux modules et techniques ».

Pour approfondir sur Menaces, Ransomwares, DDoS

Close