Des chercheurs établissent un lien entre Regin et un malware décrit dans les documents les plus récents de Snowden

Les experts de Kaspersky Lab ont détecté des points communs au niveau du code et des fonctions de la plateforme malveillante Regin et d’une plateforme similaire décrite dans des documents d’Edward Snowden publiés récemment dans le journal allemand Der Spiegel.

Le lien, détecté dans l’enregistreur de frappes QWERTY prétendument utilisé par le groupe d’agences de renseignements Five Eyes, les a mené à la conclusion que les deux plateformes ont été développées par le même groupe ou alors par deux groupes différents qui travaillent en étroite coopération.

"Vu l’extrême complexité de la plateforme Regin et la probabilité réduite de reproduire quelque chose de semblable sans accès au code source, nous en avons conclu que les développeurs des malwares QWERTY et Regin sont une seule et même personne ou qu’ils coopèrent" peut-on lire dans le rapport de Costin Raiu et Igor Soumenkov publié sur le blog Securelist.

L’article du Spiegel explique comment la NSA des Etats-Unis, le GCHQ du Royaume-Uni et les autres membres de Five Eyes développeraient des capacités offensives sur Internet afin d’attaquer les réseaux informatiques impliqués dans la gestion des infrastructures critiques de l’ennemi.

Les nouveaux documents de Snowden, présentés par Laura Poitras et une équipe de huit experts et techniciens en sécurité des informations et protection de la vie privée, contiennent également des informations sur une autre plateforme malveillante baptisée WARRIORPRIDE. A l’intérieur de WARRIORPRIDE, nous retrouvons QWERTY, un module qui enregistre les frappes de clavier sur les ordinateurs Windows compromis ; d’après les informations du Spiegel, ce malware existerait déjà depuis quelques années et il aurait déjà été remplacé.

L’article indique que la structure de QWERTY est "simple". Ce malware contient un pilote principal baptisé QWERTYKM qui interagit avec le gestionnaire de clavier Windows et la bibliothèque QWERTYLP qui consigne et conserve les frappes au clavier pour les analyser. Après avoir analysé ces fichiers binaires, le Spiegel a déclaré qu’il y avait probablement un lien entre WARRIORPRIDE et l’Australian Signals Directorate, une agence de renseignements australienne.

Les chercheurs Costin Raiu et Igor Soumenkov de Kaspersky Lab ont déclaré que QWERTY possédait des fonctions identiques à celles d’un des plug-in de Regin.

Ils ont expliqués qu’ils ont disséqué QWERTY et découvert trois fichiers binaires et de configuration. Un des fichiers binaires baptisé 20123.sys est un composant du mode noyau de l’enregistreur de frappes QWERTY, compilé au départ d’un code source trouvé dans le module Regin, le plug-in 50251.

Les comparaisons des segments de code source proposées dans le rapport montrent que ces codes sont très proches et contiennent un grand nombre de segments identiques. Les chercheurs ont indiqué qu’un morceau de code en particulier fait référence à des plug-ins de la plateforme Regin et qu’il figure dans Regin et dans QWERTY. Il adresse un plug-in Regin, dénommé 50225, qui intervient dans le raccordement du mode noyau selon le rapport de Kaspersky Lab."

Costin Raiu et Igor Soumenkov indiquent qu’il s’agit là "d’une preuve indéniable que le plug-in QWERTY peut uniquement agir en tant que partie de la plateforme Regin en exploitant la fonction de raccordement au mode noyau du plug-in 50225" Afin de confirmer que les deux modules utilisent une plateforme logicielle similaire, nous avons examiné les fonctions exportées depuis les deux modules. Elles contiennent le code de départ que l’on retrouve dans n’importe quel autre plug-in de Regin, ainsi que le numéro réel du plug-in enregistré sur la plateforme afin de pouvoir l’adresser par la suite. Cela n’a de sens que si les modules sont utilisés dans le cadre de la plateforme Regin"

La plateforme malveillante Regin a été analysée par Kaspersky Lab et elle a tout de suite décroché le titre de la plateforme d’espionnage la plus avancée jamais étudiée, plus complexe encore que Stuxnet et Flame. Cette plateforme avait été utilisée pour voler des secrets d’agences gouvernementales, d’instituts scientifiques et de banques. Elle était même capable d’organiser des attaques contre les opérateurs de téléphonie mobile.

La semaine dernière, les chercheurs de Kaspersky Lab ont publié un autre rapport sur Regin. Il était consacré plus spécialement à deux modules autonomes utilisés pour la diffusion transversale et pour la diffusion d’une backdoor en vue d’extraire les données des ordinateurs compromis. Ces modules, baptisés Hopscotch et Legspin ont été eux aussi probablement développés il y a plus de dix ans.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *