septembre 23, 2017

Contact: 775312579 Email: redaction@thiesinfo.com
BBY THIES

REGIN : Un logiciel espion redoutable vient d’être découvert

REGIN : Un logiciel espion redoutable vient d’être découvert

Identifié par l’éditeur Symantec, Regin est un logiciel malveillant type cheval de Troie qui démontre un niveau de sophistication « rarement vu », suggérant qu’un État pourrait en être le commanditaire. En activité depuis 2008, il aurait servi à espionner des cibles gouvernementales,..Voici la structure en cinq étapes du virus Regin telle que décrite par Symantec. Après avoir été injecté (dropper) via un site Web ou une clé USB infectée, le malware se déploie à la manière d’une cascade de dominos où chaque étape chiffrée prépare la suivante. Il faut réunir les cinq étapes pour comprendre le fonctionnement de Regin. Et même dans ce cas, Symantec souligne qu’il est « très difficile de savoir ce qu’il fait »

Sommes-nous face à une menace de l’ampleur des virus Stuxnet et Flame voire pire ? Symantecvient de révéler l’existence d’un nouveau logiciel malveillant nommé Regin qu’il décrit comme un outil furtif dédié à la surveillance de masse. L’éditeur de solutions de sécurité affirme que cecheval de Troie a été utilisé pour espionner des organismes gouvernementaux, des entreprises, des opérateurs d’infrastructures (fournisseurs d’accès Internet, opérateurs réseaux et télécoms), des centres de R&D ainsi que des individus travaillant dans des secteurs clé, comme l’aéronautique ou l’énergie.

Il serait en activité depuis 2008 et démontre « un degré de compétence technique rarement vu ». Le développement de Regin a pu prendre des mois, voire des années. Selon Symantec, ses capacités et le niveau de ressources nécessaires à sa mise en œuvre laissent penser qu’il a pu être conçu et lancé par un État. La discrétion de Regin fait que ce malware pourrait servir à des campagnes d’espionnage sur plusieurs années. Ce logiciel espion est configurable en fonction de la cible et « fournit à ceux qui le contrôlent un moyen puissant pour de la surveillance de masse », ajoute Symantec. Décrit comme un outil servant à la surveillance de masse, Regin vise principalement de petites entreprises, des individus travaillant dans des secteurs clés (aéronautique, énergie…) et des opérateurs des télécoms. Le secteur hôtelier est aussi ciblé, vraisemblablement pour pouvoir suivre les déplacements de certaines cibles.

Une installation en cinq étapes

La structure de Regin est très complexe. Elle se déroule en cinq étapes, chacune étant chiffrée et indétectable. Comparant l’installation du malware à une chaîne de dominos, Symantec explique que la première phase lance un processus dans lequel chaque étape prépare et exécute la suivante. Prise individuellement, une étape ne livre que peu d’informations sur et il faut parvenir à rassembler les cinq étapes pour pouvoir analyser et comprendre le fonctionnement de l’ensemble. « Même lorsque sa présence est détectée, il est très difficile de déterminer ce qu’il fait », reconnaît l’éditeur.

Il souligne que cette structure distribuée est similaire à celle employée par des virus comme Duquet Stuxnet. Elle peut être adaptée pour changer les fonctions du malware selon la cible visée. Il sait notamment faire des captures d’écran, contrôler une souris d’ordinateur, dérober des mots de passe, surveiller le trafic d’un réseau et récupérer des fichiers effacés. La méthode de propagation de Regin est dans certains cas assez classique, puisqu’elle se fait en attirant la victime sur une version contrefaite d’un site Internet connu ou par injection directe via une clé USB.

Pour se camoufler, Regin emploie plusieurs techniques avec notamment, un système dechiffrement EFS virtuel, des commandes http logées dans des cookies et des protocoles de communication TCP et UDP personnalisés. Symantec a observé un début d’activité en 2008. À partir de 2011 le virus informatique disparaît des écrans radars, avant de réapparaître dans une nouvelle version en 2013. Les cibles de Regin sont certains particuliers et des petites entreprises (48 %), des infrastructures télécoms (28 %) ainsi que le secteur hôtelier. Dans ce dernier cas, le but est vraisemblablement de pouvoir suivre les déplacements de certaines personnes.

Symantec a également identifié la propagation géographique de Regin. Le malware a sévi principalement en Russie (28 %), en Arabie saoudite (24 %), au Mexique (9 %), en Irlande (9 %) et en Inde (5 %). Ce redoutable espion n’a semble-t-il pas encore livré tous ses secrets. «Symantec pense que beaucoup de composants de Regin n’ont pas été découverts et d’autres fonctionnalités et versions peuvent exister », conclut l’éditeur. À suivre donc….

Source : lesnouveautes

appli

Postez un commentaire

Votre adresse de messagerie ne sera pas publiée.

thies massage