Des chercheurs en sécurité de Kaspersky ont découvert des similitudes remarquables entre une composante de Regin et un malware susceptible d'avoir été utilisé par la NSA dans leurs pratiques d'espionnage. Regin est une plateforme sophistiquée qui a été utilisée pour espionner des entreprises, des institutions gouvernementales et des particuliers depuis des années.
Le malware surnommé QWERTY a été découvert parmi des fichiers de l'ex-employé de la NSA, Edward Snowden. Le programme, publié par le média allemand Der Spiegel le 17 janvier, figure parmi des documents secrets sur des logiciels malveillants de la NSA et ses partenaires des Five Eyes, à savoir les agences de renseignement du Royaume-Uni, du Canada, de l'Australie et de la Nouvelle-Zélande.
Une analyse du programme par les chercheurs de Kaspersky Lab a fait ressortir des similitudes remarquables entre QWERTY et un composant de la plateforme Regin.
«Nous avons obtenu une copie des fichiers malveillants publiés par Der Spiegel et quand nous les avons analysés, ils nous ont immédiatement rappelé Regin, » ont déclaré les chercheurs de Kaspersky Lab le mardi dans un billet de blog. « En regardant le code de près, nous concluons que le malware 'QWERTY' est identique en fonctionnalité au plugin Regin 50251.»
Les chercheurs, ont par ailleurs, constaté que QWERTY et le plugin 50251 dépendent, tous les deux, d'une autre composante de la plateforme Regin identifiée comme 50225.
Pour ces derniers, la similitude de fonctionnalité entre QWERTY et Regin 50251 et leur dépendance à la même composante Regin 50225 est l'évidence que le malware révélé par les fichiers de Snowden est une composante de la plateforme Regin.
« Compte tenu de l'extrême complexité de la plateforme Regin et qu'il y ait peu de chance qu'elle puisse être reproduite par quelqu'un sans avoir accès à son code source, nous concluons que les développeurs du malware QWERTY et les développeurs de Regin sont les mêmes ou ont travaillé ensemble. »
L'assertion des chercheurs semble se confirmer avec un autre document rédigé par l'homologue canadien de la NSA. Le document révèle l'existence d'une plateforme unifiée de logiciels malveillants utilisée par les Five Eyes pour créer et partager des plugins. Der Spiegel rapporte, par ailleurs, que QWERTY serait un plugin de cette plateforme appelée WARRIORPRIDE.
Ce qui laisse supposer que la plateforme de logiciels de cyber espionnage que les chercheurs appellent Regin est probablement la même que la plateforme des Five Eyes appelée WARRIORPRIDE.
Source : Kapersky Lab Securelist, Der Spiegel (pdf)
Et vous ?
La NSA serait-elle à l'origine de la campagne d'espionnage avec Regin?
La NSA serait-elle à l'origine de la campagne de cyberespionnage avec Regin ?
Des liens découverts entre Regin et un malware de l'agence
La NSA serait-elle à l'origine de la campagne de cyberespionnage avec Regin ?
Des liens découverts entre Regin et un malware de l'agence
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !