Publication des détails relatifs aux modules du malware Regin

La plateforme malveillante Regin, utilisée pour voler les secrets d’agences gouvernementales, de banques et d’opérateurs de téléphonie mobile, a suscité l’intérêt des experts en sécurité informatique qui l’ont désignée comme une des plateformes les plus complexes, loin devant Flame, Duqu et même Stuxnet.

Les experts de Kaspersky Lab ont déclaré que Regin pouvait être configuré dans le but d’organiser des attaques contre de grandes organisations ou des particuliers et ont rappelé que la première victime connue avait été le célèbre cryptographe Jean-Jacques Quisquater.

Les détails relatifs à deux modules de Regin ont été publiés par le GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab. Un des modules intervient dans la propagation transversale, tandis que l’autre installe une porte dérobée pour extraire les informations de l’ordinateur compromis.

Les chercheurs Costin Raiu et Igor Soumenkov ont conclu que ces modules, nommés Hopscotch et Legspin, ont probablement été retirés de la circulation par les propriétaires de Regin et remplacés par de nouveaux modules. L’identité des auteurs de Regin demeure une énigme, bien que certains éléments pointent vers une implication de la NSA des Etats-Unis ou du GCC du Royaume-Uni.

Regin a été découvert en novembre par Kaspersky Lab. La société avait alors signalé que le malware avait été repéré sur les systèmes Windows de 27 organisations dans 14 pays, principalement en Asie et au Moyen-Orient. L’orientation GSM de Regin est une particularité relativement unique pour des attaques APT et assez préoccupante quand on connaît la faiblesse des protocoles utilisés dans les communications mobiles.

D’après les données de Kaspersky Lab, les individus malintentionnés ont réussi à voler des comptes utilisateur depuis un contrôleur interne de station de base GSM appartenant à un grand opérateur de téléphonie, ce qui leur avait permis d’accéder aux cellules GSM de ce réseau en particulier. Les contrôleurs de station de base gèrent le transit des appels sur le réseau mobile en répartissant les ressources. Grâce à un tel accès, l’individu malintentionné peut obtenir des informations sur les appels traités par des cellules en particulier, rediriger les appels, activer d’autres cellules et voler des données.

Costin Raiu avait déclaré à l’époque : "A l’heure actuelle, les individus malintentionnés à l’origine de Regin sont les seuls, à notre connaissance, capable de mener ce genre d’opération".

Ce nouveau rapport contient une analyse détaillée de deux des quatre modules appartenant à Regin (les hash, les données de compilation, les types de fichiers et les tailles sont repris dans le blog Securelist).

"Malgré la complexité générale (voire une complexité exagérée) de la plateforme Regin, ces outils sont simples, directs et dotés d’interfaces de console interactives pour les opérateurs de Regin. Ils sont intéressants car ils ont été développés il y a plusieurs années. Il se peut même que leur création soit antérieure à celle de la plateforme Regin" peut-on lire dans le rapport.

Par exemple, Hopscotch est un instrument autonome utilisé par les individus malintentionnés pour la propagation transversale. Il utilise des comptes utilisateur volés pour s’authentifier sur les postes distants et ne contient aucun code d’exploitation comme l’ont indiqué Costin Raiu et Igor Soumenkov.

"Le module reçoit le nom de la machine cible et un nom facultatif de fichier distant de la saisie standard (de l’opérateur). Les individus malintentionnés ont le choix entre plusieurs options à chaque lancement. L’outil fournit des réponses lisibles par l’homme et des suggestions de saisies" écrivent nos deux experts.

Les auteurs du module ont créé un nouveau service qui lance une charge utile obtenue d’un serveur distant via un canal bidirectionnel chiffré. Un canal pour transmettre la saisie de l’opérateur à la charge et l’autre pour transmettre les données de la charge vers la sortie standard. Le fichier exécutable s’injecte dans le nouveau processus pour la persistance et l’opérateur distant peut interagir avec le module.

Selon Costin Raiu et Igor Soumenkov, "une fois l’opération terminée, l’outil élimine le fichier distant et ferme la session d’authentification, ce qui supprime toutes les traces d’activité."

Legspin, l’autre module autonome, est un utilitaire de ligne de commande qui intervient dans l’administration de l’ordinateur et gouverne la porte dérobée.

"Il convient de noter que l’application possède une prise en charge complète de la console et affiche les données en couleur lors du lancement local. Elle est capable de faire la différence entre les consoles qui prennent en charge Windows Console API et les terminaux compatibles avec TTY qui acceptent les codes d’échappement pour les couleurs" écrivent Costin Raiu et Igor Soumenkov.

Des indices à l’intérieur du module ont permis d’établir qu’il avait été développé en 2002-2003. Il utilise également d’anciennes fonctions API comme NetBIOS qui a été désapprouvé par Windows à partir de Vista. Ce module permet aux individus malintentionnés de travailler dans la ligne de commande interactive et leur propose un vaste choix de commandes dont celles responsables de l’extraction et du chargement de fichiers, de la connexion à une ressource réseau, de l’extraction des données de configuration du serveur, de la création d’un processus, etc.

"Il convient de noter que certains déploiements de Regin ne contiennent pas le module Legspin. Dans la majorité des cas, les individus malintentionnés gèrent leurs victimes via d’autres fonctions de la plateforme Regin. Cela signifie que Legspin pourrait être utilisé indépendamment de la plateforme Regin, en tant que simple porte dérobée avec wrapper d’entrée/de sortie

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *