mercredi 8 juillet 2020    || Inscription
BanniereNews
 
 

L’analyse comparative du code du programme Qwerty révélé récemment par Der Spiegel et du malware Regin découvert fin 2014 montre tant de similitudes que sa paternité ne fait aucun doute selon Kaspersky Labs.

Dès sa découverte par Symantec au mois de novembre dernier, l’ensemble des chercheurs en sécurité de cette entreprise et des confrères affirmaient que Regin ne pouvaient être que l’œuvre d’un Etat eu égard à son fonctionnement et à sa sophistication. La liste des cibles – en particulier les pays du Golfe, du Moyen-Orient ainsi que d’autres constituaient un indice supplémentaire quant à sa provenance. Toutefois, aucune preuve ne permettait de valider ces fortes présomptions.

De larges portions de code similaires

Après les révélations du Spiegel

sur l’existence d’un programme baptisé Qwerty et utilisé par la NSA à des fins de renseignement, les ingénieurs de Kaspersky Labs se sont intéressés à comparer les codes source des deux logiciels. Et les similitudes comme les portions de code sont tellement nombreuses qu’il ne subsiste plus aucun doute dans leur esprit : Regin a bien été développé par la NSA, en particulier pour intercepter les réseaux GSM.

Lors de sa découverte à l’automne dernier, Kaspersky et Symantec précisaient que le malware Regin, hautement complexe, était en circulation depuis une dizaine d’années et qu’il avait été déployé dans au moins 14 pays parmi lesquels figuraient, des pays du Moyen-Orient mais aussi l’Allemagne, la Belgique, le Brésil, l’Inde et l’Indonésie.

La plupart des cibles se trouvaient dans le secteur des télécommunications mais également dans l’énergie et les compagnies aériennes. Pour les deux éditeurs, Regin est un outil d’espionnage de premier plan et la cyber-arme la plus dangereuse et la plus sophistiquée depuis Stuxnet, le programme utilisé pour cibler le programme d’armement nucléaire iranien.

Costin Raiu, patron de la recherche pour Kaspersky, a indiqué que le module « Keylogger » de Regin utilisé pour récupérer les informations sensibles comme des mots de passe, des adresses e-mail ou des documents était strictement identique à celui découvert dans l’outil Qwerty révélé par Der Spiegel sur la base de documents fournis par Edward Snowden.

L'oeuvre de la "Five Eyes Alliance"

A l’issue de ces nouvelle découvertes, il ne semble donc plus faire aucun doute que Regin est une plate-forme de cyberattaque développée par ce que l’on appelle communément la « Five Eyes Alliance » qui regroupe les USA, la Grande-Bretagne, le Canada, l’Australie et la Nouvelle-Zélande. Parmi ses différents faits d’armes, il semble que Regin ait été utilisé lors de l’attaque contre l’opérateur Belgacom à l’été 2013.




Autres News Malwares, Cyber Crime

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142991
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI