DÉFINITION DU VIRUS
Type de virus : programme malveillant / menace persistante avancée (APT)
Qu’est-ce que Regin ?
Regin est une plateforme de cyberattaque capable de surveiller les réseaux GSM en plus d’autres tâches d’espionnage « standard ».
Pour résumer, Regin est une plateforme de cyberattaque que les pirates déploient sur les réseaux de la victime pour bénéficier d’une contrôle à distance absolu à tous les niveaux possibles. Cette plateforme est extrêmement modulaire par nature et comporte plusieurs étapes pour accomplir diverses parties de l’attaque.
Le programme malveillant peut collecter les journaux d’activité du clavier, faire des captures d’écran, voler n’importe quel fichier se trouvant sur le système, extraire des e-mails à partir des serveurs MS Exchange et n’importe quelle donnée du trafic réseau.
Les pirates peuvent également compromettre les contrôleurs de station de base du réseau GSM, qui sont des ordinateurs qui contrôlent l’infrastructure GSM. Cela leur permet de contrôler les réseaux GSM et de lancer d’autres types d’attaques, notamment l’interception des appels et des SMS.
En quoi est-ce différent d'une autre attaque APT ?
Il s’agit de l’une des attaques les plus avancées que nous ayons jamais observées. À certains égards, la plateforme nous rappelle un autre programme malveillant avancé : Turla. Il a par exemple pour similarité l’utilisation de systèmes de fichiers virtuels et le déploiement de drones de communication pour relier les réseaux entre eux. Et pourtant, en termes de mise en œuvre, de codage, de plug-ins, de techniques de dissimulation et de flexibilité, Regin surpasse Turla et se classe parmi les plateformes d’attaque les plus avancées que nous ayons jamais analysées. La capacité de ce groupe à pénétrer et surveiller les réseaux GSM constitue peut-être l’aspect le plus inhabituel et le plus intéressant de ces activités.
Qui sont les victimes ? / Que pouvez-vous dire à propos des cibles des attaques ?
Les victimes de Regin relèvent des catégories suivantes :
- Opérateurs de télécommunications
- Institutions gouvernementales
- Organes politiques internationaux
- Institutions financières
- Instituts de recherche
- Personnes travaillant dans la recherche cryptographique/mathématique avancée
Jusqu’à présent, nous avons observé deux principaux objectifs des pirates :
- Collecter des renseignements
- Faciliter d’autres types d’attaques
Jusqu’à présent, les victimes de Regin ont été recensées dans 14 pays :
- Algérie
- Afghanistan
- Belgique
- Brésil
- Fidji
- Allemagne
- Iran
- Inde
- Indonésie
- Kiribati
- Malaisie
- Pakistan
- Russie
- Syrie
Au total, nous avons dénombré 27 victimes différentes, bien qu’il convienne de noter que la définition d’une victime appliquée ici se rapporte à une entité dans sa globalité, y compris l’intégralité de son réseau. Le nombre de PC uniques infectés par Regin est bien entendu extrêmement plus élevé.
S’agit-il d’une attaque commanditée par un État ?
Compte tenu de la complexité et du coût du développement de Regin, il est probable que cette opération soit commanditée par un État.
Quel pays de cache derrière Regin ?
Il demeure extrêmement difficile de donner un nom lorsqu’il s’agit de pirates professionnels tels que ceux qui se cachent derrière Regin.
Les produits de Kaspersky Lab détectent-ils toutes les variantes de ce programme malveillant ?
Les produits de Kaspersky Lab détectent les modules de la plateforme Regin sous les noms de
Trojan.Win32.Regin.gen et de
Rootkit.Win32.Regin.
Existe-t-il des indicateurs de compromission pour aider les victimes à détecter l’intrusion ?
Oui, des informations relatives aux indicateurs de compromission ont été incluses dans notre document de recherche technique.