Type de virus : programme malveillant / menace persistante avancée (APT)
Regin est une plateforme de cyberattaque capable de surveiller les réseaux GSM en plus d’autres tâches d’espionnage « standard ».
Pour résumer, Regin est une plateforme de cyberattaque que les pirates déploient sur les réseaux de la victime pour bénéficier d’une contrôle à distance absolu à tous les niveaux possibles. Cette plateforme est extrêmement modulaire par nature et comporte plusieurs étapes pour accomplir diverses parties de l’attaque.
Le programme malveillant peut collecter les journaux d’activité du clavier, faire des captures d’écran, voler n’importe quel fichier se trouvant sur le système, extraire des e-mails à partir des serveurs MS Exchange et n’importe quelle donnée du trafic réseau.
Les pirates peuvent également compromettre les contrôleurs de station de base du réseau GSM, qui sont des ordinateurs qui contrôlent l’infrastructure GSM. Cela leur permet de contrôler les réseaux GSM et de lancer d’autres types d’attaques, notamment l’interception des appels et des SMS.
Il s’agit de l’une des attaques les plus avancées que nous ayons jamais observées. À certains égards, la plateforme nous rappelle un autre programme malveillant avancé : Turla. Il a par exemple pour similarité l’utilisation de systèmes de fichiers virtuels et le déploiement de drones de communication pour relier les réseaux entre eux. Et pourtant, en termes de mise en œuvre, de codage, de plug-ins, de techniques de dissimulation et de flexibilité, Regin surpasse Turla et se classe parmi les plateformes d’attaque les plus avancées que nous ayons jamais analysées. La capacité de ce groupe à pénétrer et surveiller les réseaux GSM constitue peut-être l’aspect le plus inhabituel et le plus intéressant de ces activités.
Les victimes de Regin relèvent des catégories suivantes :
Jusqu’à présent, nous avons observé deux principaux objectifs des pirates :
Jusqu’à présent, les victimes de Regin ont été recensées dans 14 pays :
Au total, nous avons dénombré 27 victimes différentes, bien qu’il convienne de noter que la définition d’une victime appliquée ici se rapporte à une entité dans sa globalité, y compris l’intégralité de son réseau. Le nombre de PC uniques infectés par Regin est bien entendu extrêmement plus élevé.
Compte tenu de la complexité et du coût du développement de Regin, il est probable que cette opération soit commanditée par un État.
Il demeure extrêmement difficile de donner un nom lorsqu’il s’agit de pirates professionnels tels que ceux qui se cachent derrière Regin.
Les produits de Kaspersky Lab détectent les modules de la plateforme Regin sous les noms de
Trojan.Win32.Regin.gen et de
Rootkit.Win32.Regin.
Oui, des informations relatives aux indicateurs de compromission ont été incluses dans notre document de recherche technique.