Le Trojan Regin à l’attaque de l’infrastructure GSM : une enquête de Kaspersky Lab

Kaspersky Lab a publié l’analyse d’une des cyberplaterformes malveillantes les plus dangereuses connues à ce jour. Ce Trojan baptisé Regin, détecté il y a peu, existe depuis plus de 20 ans. Parmi ces "exploits", nous pouvons citer l’infection de l’infrastructure GSM d’un des plus grands opérateurs de téléphonie mobile et la surveillance de l’activité des stations de base du réseau cellulaire.

Comme l’indiquent les chercheurs en sécurité de Kaspersky Lab, c’est à partir de 2012 qu’ils ont découvert des traces isolées de Regin. Les services antivirus recevaient régulièrement divers échantillons sans rapports les uns avec les autres et dont les fonctions étaient inconnues. La création de certains d’entre eux remontait à 2003. Ce n’est que récemment qu’il a été possible de réaliser une analyse complète de l’attaque.

Regin, qui doit son nom au fait qu’une partie de ses composants est conservée dans le registre Windows (jeu de mots sur "in registry" (dans le registre)- "regin"), n’attaque que les cibles les plus importantes au sein d’une liste de catégories réduite : sociétés de télécommunication, organismes gouvernementaux, institutions financières et scientifiques, organisations politiques internationales et scientifiques impliqués dans des travaux mathématiques et cryptographiques. Une des victimes fut le grand cryptographe belge Jean-Jacques Quisquater qui a fourni à Kaspersky Lab l’échantillon du malware qu’il avait détecté sur son ordinateur.

Les chercheurs n’ont toujours pas été en mesure d’identifier la méthode adoptée par les individus malintentionnés pour introduire Regin sur l’ordinateur de la victime. Aucun code d’exploitation pour une vulnérabilité de type 0jour n’a été découvert et dans la majorité des cas, le malware s’est introduit sur l’ordinateur depuis d’autres ordinateurs du réseau en utilisant des privilèges d’administrateur. Dans certains cas, ces sont les contrôleurs de réseau Windows qui ont été infectés.

La première étape de l’infection consiste à introduire un fichier exécutable sur l’ordinateur. Les chercheurs ont identifié de nombreux types pour ce fichier. Selon toute vraisemblance, cette diversité est indispensable pour compliquer la tâche des outils antivirus. Les autres composants de la plateforme malveillante sont téléchargés ensuite. Ils sont enregistrés directement sur le disque dur (pour les systèmes 64 bits) ou dans les attributs élargis du système de fichiers NTFS (pour les systèmes 32 bits).

Les programmes de la deuxième étape de l’infection possèdent de multiples fonctions, dont la suppression automatique sur commande de Regin sur l’ordinateur infecté. Le programme-gestionnaire, en quelque sorte le "cerveau" de Regin, est téléchargé à la fin du processus. Il contient une API pour l’accès aux systèmes de fichiers virtuels et des fonctions de base de communication et d’enregistrement des modules.

Les enquêteurs ont mis en évidence deux tendances principales dans les activités de Regin : collecte d’informations et organisation d’attaques d’autres types. Dans la majorité des cas, les individus malintentionnés qui se cachent derrière Regin volent des messages et des documents. Il y a eu également des cas d’infection d’opérateurs de télécommunications où les attaques étaient plus rusées.

Le composant de Regin le plus intéressant parmi ceux qui ont été découverts à ce jour est un module utilisé pour infecter l’infrastructure des communications GSM. Ce module a été découvert dans le réseau d’un important opérateur de téléphonie mobile. Sa principale fonction consiste à enregistrer toute l’activité de stations de base définies du réseau cellulaire. Le module tient un journal dans lequel il consigne toutes les commandes saisies pour les stations de base d’Ericsson. Les journaux découverts contenaient également les noms d’utilisateur et les mots de passe des comptes des ingénieurs chargés de l’infrastructure. Le journal découvert contenait les commandes exécutées sur 136 stations de base différentes.

Le mécanisme d’administration et de contrôle de Regin est assez complexe et repose sur des nœuds de communications installés par les individus malintentionnés dans le réseau de la victime. Le malware communique avec d’autres machines du réseau à l’aide de différents protocoles, conformément aux paramètres du fichier de configuration. Les machines aux limites du réseau fonctionnent en tant que routeur et assurent la connexion entre les machines infectées et les serveurs externes de commande. Les enquêteurs ont identifié cinq serveurs de commande à Taïwan, en Inde et en Belgique.

Un cas particulièrement intéressant a été découvert dans un pays du Moyen-Orient : toutes les victimes de Regin dans ce pays appartenait à un réseau P2P qui comptait parmi ses membres l’administration du Président, un centre d’étude, le réseau d’une université et une banque. L’ordinateur d’une des victimes jouait le rôle de nœud de communication via lequel tout le réseau Regin communiquait avec le serveur de commande en Inde.

Un total de 27 victimes de Regin, réparties entre 14 pays dont l’Algérie, l’Afghanistan, la Belgique, le Brésil, Fidji, l’Allemagne, l’Iran, l’Indonésie, Kiribati, la Malaisie, le Pakistan, la Russie et la Syrie a été identifié. Etant donné la complexité et le coût du développement de Regin, les chercheurs de Kaspersky Lab sont parvenus à la conclusion que l’opération devait être appuyée par un Etat. Très peu de métadonnées ont pu être obtenues, ce qui complique l’identification du pays qui a commandité ces attaques.

Source : Securelist

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *