Des chercheurs en sécurité ont trouvé un lien sérieux entre Regin et un keylogger utilisé par l'alliance Five Eyes ou FVEY, laquelle unit les services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis. Le keylogger, peut être utilisé par la NSA, partage en effet des morceaux de code significatifs avec une composante de Regin. Pendant des années, cette plate-forme sophistiquée a servi à espionner des entreprises, des institutions gouvernementales et des particuliers. Le keylogger surnommé QWERTY a probablement été utilisé comme framework d'attaque par l'Agence de sécurité nationale américaine et ses partenaires du renseignement. Le document concernant QWERTY fait partie des fichiers livrés aux journalistes par l'ancien consultant de la NSA Edward Snowden. Le 17 janvier dernier, le magazine allemand Der Spiegel a rendu ce document public en même temps qu'une série importante de documents secrets traitant de l'usage des malwares par la NSA et ses partenaires de l'alliance Five Eyes. « Quand nous avons analysé les copies de fichiers malveillants qu'a bien voulu nous fournir Der Spiegel, nous avons immédiatement fait le lien avec Regin », ont déclaré mardi dans un blog les chercheurs de l'entreprise de sécurité Kaspersky Lab. « Après examen attentif du code, nous pouvons dire qu'en terme de fonctionnalités, le malware QWERTY est identique au plug-in Regin 50251 ». En outre, les chercheurs de Kaspersky ont constaté que QWERTY et le plug-in 50251 dépendent tous deux d'un autre module de la plate-forme Regin, identifié par la référence 50225 qui gère le hooking en mode kernel. C'est-à-dire que ce composant permet d'exécuter le malware dans le niveau de privilège le plus élevé du système d'exploitation, le noyau. « C'est la preuve assez sérieuse que QWERTY ne peut fonctionner qu'en association avec la plate-forme Regin », ont ajouté les chercheurs de Kaspersky. « Compte tenu de l'extrême complexité de la plate-forme Regin et le peu de chance que celle-ci puisse être reproduite par quelqu'un sans un accès à son code source, nous pensons que les développeurs du malware QWERTY et les développeurs de Regin sont les mêmes ou qu'ils travaillent ensemble ».

Un spyware utilisé pour infiltrer Belgacom 

Selon Der Spiegel, QWERTY, dont le code comporte des références à une dépendance appelée WzowskiLib ou CNELib, est probablement un plug-in lié au framework de malware unifié, nom de code WARRIORPRIDE, utilisé par les cinq partenaires FVEY. Dans un document divulgué séparément et émanant du Centre de la sécurité des télécommunications Canada (CSTC), l'homologue canadien de la NSA, WARRIORPRIDE est décrit comme une plate-forme d'exploitation de réseau informatique flexible (CNE) qui n'est autre qu'une implémentation de l'API « WZOWSKI » de l'alliance Five Eyes. Le document indique également que WARRIORPRIDE est désigné par le nom de code DAREDEVIL par le service de renseignements électronique du gouvernement britannique, Government Communications Headquarters (GCHQ) et que les partenaires de l'alliance Five Eyes peuvent créer et partager des plug-ins pour ce code. Le lien tout juste découvert entre QWERTY et Regin laisse penser que la plate-forme d'espionnage que les chercheurs en sécurité appellent Regin correspond probablement à WARRIORPRIDE. Des experts avaient déjà plus ou moins établi cette équivalence à partir d'autres indices.

Selon Kaspersky Lab, le malware-espion Regin est celui qui a infecté l'ordinateur personnel du cryptographe belge Jean-Jacques Quisquater en 2013. Cette attaque était liée à une autre attaque visant le groupe de télécommunications belges Belgacom qui compte parmi ses clients la Commission européenne, le Parlement européen et le Conseil européen. En septembre 2013, Der Spiegel avait rapporté, sur la base des documents divulgués par Edward Snowden, que le GCHQ était responsable de l'attaque de Belgacom dans le cadre d'une opération secrète ayant pour nom de code « Operation Socialist ». Ronald Prins, co-fondateur de l'entreprise de sécurité néerlandaise Fox-IT engagée pour enquêter sur l'attaque contre Belgacom, avait déclaré en novembre au site Intercept qu'il était convaincu que Regin avait été utilisé par les services de renseignement britanniques et américains. Intercept avait également indiqué, sur la base de sources anonymes, que le fichier avait été utilisé pour cibler le Parlement européen. À l'époque, une porte-parole de la NSA avait déclaré que l'agence n'avait aucun commentaire à faire sur les « spéculations » d'Intercept.

Les opérateurs télécoms, premières cibles de Regin

L'existence de Regin a été décrite pour la première fois en novembre par deux chercheurs de Kaspersky Lab et de Symantec dans article très documenté sur la plateforme. Mais les deux sociétés de sécurité connaissaient le malware un an au moins avant cette publication, les preuves technico-légales suggérant que la menace a été active dès 2006. Les chercheurs en sécurité estiment que, en terme de sophistication, Regin est comparable à Stuxnet, le ver informatique peut être créé par les États-Unis et Israël pour saboter les centrifugeuses d'enrichissement d'uranium utilisées par l'Iran pour développer des capacités nucléaires. Mais, contrairement à Stuxnet, Regin a été principalement utilisé pour des actions d'espionnage et non pour des opérations de sabotage. Symantec a identifié environ une centaine de victimes de Regin dans 10 pays, principalement en Russie et en Arabie saoudite, mais aussi au Mexique, en Irlande, en Inde, Afghanistan, Iran, Belgique, Autriche et Pakistan.

« Parmi les principales cibles figuraient des opérateurs de télécommunications, des organismes gouvernementaux, des partis politiques, des institutions financières, des centres de recherche et des individus impliqués dans la recherche mathématique et cryptographique avancée », indique encore Kaspersky Lab. « Aucune nouvelle infection par Regin n'a été repérée depuis mi-2014 », a déclaré lundi par courriel Costin Raiu, directeur de l'équipe de recherche et d'analyse de Kaspersky. On ne sait pas si, depuis la révélation de son existence, les auteurs essayent de remplacer la plate-forme complètement ou s'ils veulent simplement lui apporter des changements significatifs. « Nous pensons qu'il est très difficile de remplacer la plateforme Regin par autre chose », a déclaré Costin Raiu. « Il est donc probable qu'elle sera modifiée et améliorée ».