بدافزاری كه از هشت سال پيش فعال بوده است

شماره: IRCNE2014112383
تاريخ: 3/9/93

بدافزاري كه سايمانتك معتقد است احتمالاً توسط يك حكومت ايجاد شده است، ممكن است براي مدت 8 سال مورد استفاده قرار گرفته باشد.
روز يكشنبه، اين شركت امنيت كامپيوتر يك گزارش 22 صفحه‌اي و يك پست در وبلاگ در مورد بدافزار Regin منتشر كرد كه تحت عنوان يك پلتفورم جاسوسي سايبري قوي شرح داده شده است كه مي‌تواند بسته به نوع داده‌هاي مورد نظر، سفارشي سازي شود.
اين بدافزار با ماژول‌هاي متفاوت سفارشي سازي شده براي سرقت انواع خاص اطلاعات، غالباً شركت‌هاي مخابراتي، كسب و كارهاي كوچك و افراد شخصي را هدف قرار داده است. سايمانتك حدود 100 نهاد را در 10 كشور كشف كرده است كه توسط Regin آلوده شده‌اند كه اغلب آنها در روسيه و عربستان سعودي قرار دارند. اما در مكزيك، ايرلند، هند، افغانستان، ايران، بلژيك، اتريش و پاكستان نيز مواردي از آلودگي به اين بدافزار مشاهده شده است.
به گفته يك محقق امنيتي سايمانتك به نام «ليام اومورچو»، نخستين نسخه Regin بين سال‌هاي 2008 تا 2011 فعال شد. سايمانتك تحليل نسخه ديگري از Regin را كه توسط يكي از مشتريان براي اين شركت ارسال شده بود حدود يك سال قبل آغاز كرد.
اما شواهد و ادله جرم‌شناسانه‌اي وجود دارد مبني بر اينكه Regin از سال 2006 فعال بوده است. در حقيقت سايمانتك نام Regin را براي اين بدافزار انتخاب نكرده است. به گفته اومورچو، سايمانتك اين نام را مورد استفاده قرار داده است چرا كه اين بدافزار توسط ديگراني كه در زمينه امنيت فعال هستند و پيش از اين در مورد اين بدافزار اطلاعاتي داشته‌اند، به اين نام ناميده شده است.
اگر Regin واقعاً 8 سال داشته باشد، اين بدان معناست كه حكومت‌ها و دولت‌ها به موفقيت عظيمي در دور زدن محصولات امنيتي دست يافته‌اند، كه نشانه چندان خوبي براي شركت‌هايي كه سعي مي‌كنند از داده‌ها محافظت كنند نيست. سايمانتك در مورد توليد كننده Regin نظري نداده است.
سايمانتك حدود يك سال براي عمومي كردن Regin صبر كرده است، چرا كه تحليل آن بسيار سخت بوده است. اين بدافزار 5 مرحله جداگانه دارد، كه هريك از آنها وابسته به رمزگشايي مرحله قبلي است. اين بدافزار همچنين از ارتباط نظير به نظير استفاده استفاده مي‌كند و از استفاده از يك سيستم مركزي دستور و كنترل براي جمع كردن داده‌هاي سرقتي خودداري مي‌كند.
Regin يك تروجان back-door است كه بسته به هدف، با گستره متنوعي از قابليت‌ها سفارشي‌سازي مي‌شود. به گفته سايمانتك، توليد اين بدافزار ماه‌ها و حتي سال‌ها زمان برده است و نويسندگان آن تمام سعي خود را براي پوشاندن ردپاي اين بدافزار كرده‌اند.
همچنين هنوز دقيقاً مشخص نيست كه كاربران چگونه توسط Regin آلوده مي‌شوند. به گفته اومورچو، سايمانتك فقط در مورد يك كامپيوتر كشف كرده است كه از طريق ياهو مسنجر آلوده شده است.
اين احتمال وجود دارد كه كاربر قرباني يك حمله مهندسي اجتماعي شده و بر روي لينكي كه از طريق مسنجر ارسال شده است كليك كرده باشد. اما احتمال بيشتري وجود دارد كه كنترل كنندگان Regin از يك آسيب‌پذيري در مسنجر آگاه بوده و بدون نياز به تعامل كاربر، سيستم وي را آلوده كرده باشند.
اومورچو معتقد است كه اين تهديد از نظر تمام كارهايي كه بر روي كامپيوتر انجام مي‌دهد بسيار پيشرفته است.
شركت‌هاي مخابراتي به طور خاص توسط اين بدافزار هدف قرار گرفته‌اند. يافته‌هاي سايمانتك نشان مي‌دهد كه برخي شركت‌ها در چندين مكان و چندين كشور توسط Regin آلوده شده‌اند.
به نظر مي‌رسد كه مهاجمان به دنبال اطلاعات لاگين براي ايستگاه‌هاي پايه (BTS) شبكه GSM بوده‌اند. اين ايستگاه‌ها نخستين نقطه تماس يك دستگاه موبايل براي مسيريابي يك تماس يا درخواست داده است. سرقت اطلاعات اعتباري administrator به صاحبان Regin اجازه داده است كه تنظيمات ايستگاه پايه را تغيير داده يا به داده‌هاي تماس‌هاي خاص دست يابند.
اهداف ديگر Regin شامل صنايع خطوط هوايي، ISP ها و بيمارستان‌ها بعلاوه دولت‌ها بوده است.
سايمانتك معتقد است كه بسياري از اجزاي Regin كشف نشده‌اند و هنوز ممكن است عملكردها و نسخه‌هاي ديگري از اين بدافزار وجود داشته باشد. محققان به تحليل‌هاي خود ادامه مي‌دهند و درصورت رسيدن به نتايج جديد، آن را به اطلاع عموم خواهند رساند.