کشف بدافزاري بسيار پيچيده با نام Regin

[ali-sarchahi 190]

محققان سيمانتک (بزرگترين شرکت توليدکننده نرم افزارهاي امنيتي براي کامپيوترهاي شخصي) بدافزاري به نام Regin را کشف کرده اند که از سال ۲۰۰۸ تجارت ها و دولت ها را زير نظر داشته و بر امور آن ها جاسوسي ميکرده است. اين نرم افزار مخرب پيشرفته از ۶ سال پيش به جهت جاسوسي شرکت هاي خصوصي، دولت ها، موسسات تحقيقاتي، اپراتورهاي زير ساختي، و مقامات ۱۰ کشور مورد استفاده قرار مي گرفته است. در تحقيقات انجام شده نشان داده شده است که به احتمال زياد، طراح اين بدافزار يک کشورخاص و نه يک گروه هکر يا مجموعه اي کوچک مي باشد.
به گزارش گاردين و فرست پست، شرکت سيمانتيک گفته است که طراحي بدافزار Regin به گونه اي انجام شده که مي تواند در طولاني مدت و بطور پيوسته در عمليات هاي جاسوسي نظارتي بر عليه طعمه ها کار کند. دوره اول حمله هاي مخرب اين بدافزار از سال ۲۰۰۸ آغاز، و در سال ۲۰۱۱ خاتمه يافت اما از ۲۰۱۳ به بعد با تغييرات ايجاد شده در برخي قسمت آن مجددا به فعاليت خود ادامه داد.

اين بدافزار از چندين ويژگي پنهاني استفاده مي کند و حتي اگر وجود آن نيز شناسايي گردد، باز هم تشخيص کارهايي که انجام مي دهد بسيار دشوار است. بسياري از اجزاي تشکيل دهنده اين بدافزار هنوز کشف نشده باقي مانده اند و حتي ممکن است کارايي هاي اضافي ديگر و يا ورژن هاي مختلف نيز داشته باشد. تقريبا نيمي از تمامي حملات اين نرم افزار مخرب متوجه آدرس هاي ارائه دهندگان سرويس هاي اينترنتي مي شود.
هدف ها بيش از آنکه خود شرکت ها بوده باشند در واقع مشتريان آنها بودند. حدود ۲۸ درصد طعمه ها در حال برقراري ارتباطات از راه دور بوده اند، اين درحاليست که قربانيان ديگر در بخش هاي انرژي، خط هوايي، مهمان داري، و پژوهشي فعاليت مي کردند. سيمانتيک توضيح مي دهد که اين بدافزار داراي ۵ مرحل مي باشد که به غير از مرحله اول، بقيه مراحل مخفي سازي و رمزنگاري شده اند.
هر مرحله به طور جداگانه اطلاعات کمي از کل مجموعه را ارائه مي دهد و تنها با در دست داشتن هر ۵ مرحله اين امکان بوجود مي آيد که خطر، آناليز و شناسايي شود. Regin همچنين از چيزي به نام رويکرد ماژولار استفاده مي کند که به آن اجازه مي دهد تا ويژگي هاي مرسوم و متناسب با هدف ها را لود کند، درست همان روشي که بدافزاري ديگر مانند Flamer و Weevil به کار مي گيرند.

به گزارش زدنت، حملات از سال ۲۰۰۸ تا ۲۰۱۱ انجام شدند و پس از آن اين بدافزار براي مدتي ناپديد گشت و باري ديگر در سال گذشته احيا شد که نسخه جديد آن اکنون ۶۴ بيتي بوده و شايد هم يکي از مرحله هاي خود را ازدست داده و حال ۴ مرحله اي باشد. سيمانتيک مرحله سوم ورژن ۲.۰ اين بدافزار را پيدا نکرده است و به طور کلي هنوز خيلي چيزها در مورد Regin دريافته نشده است. براي مثال محققان هنوز مسير بازتوليدپذير اين سرايت بدافزاري را شناسايي نکرده اند و اين جهات ممکن است دايما براي حملات مختلف به گونه اي جديد سفارشي سازي شوند.
همچنين ده ها هزار پي لود (payload) نيز براي اين بدافزار وجود دارد که براي هر چيز معمول مانند سرقت رمزکاربري، صفحه هاي عکسبرداري شده، فايل هاي دزدي شامل فايل هاي پاک شده و غيره ارائه داده مي شوند. Regin همچنين از تکنيک هاي غير استاندارد و عجيبي براي سرقت استفاده ميکند. براي مثال اين بدافزار داراي يک سيستم مجازي سفارشي و رمزنگاري شده مي باشد.
بر اساس ميزان دشواري اين خطر و سرمايه گذاري قابل توجهي که براي طراحي آن شده درمي يابيم که استدلال سيمانتيکي ها در نقش داشتن يک کشور در پس تمامي اين امور کاملا درست است. اين بدافزار يک ابزار جاسوسي است که توسط يک دولت طراحي شده و جدول بندي آلوده شدن کشورها توسط اين بدافزار گوياي اين واقعيت است.

حال سوال اينجاست که چه کشوري متهم به انجام چنين اقدام جاسوسانه اي است؟ حدس زده مي شود که کار، کار يکي از دولت هاي غربي يا کشورآمريکا و با نيت مورد حمله قرار دادن کشورهاي آسيايي مانند ايران، چين، افغانستان، و برخي کشورهاي اروپايي مانند بلژيک، اتريش باشد. البته هدف اصلي اين بدافزار، کشور اروپايي روسيه است که ۲۸ درصد آن را آلوده کرده است.
البته باتوجه به فوق سري بودن کارايي اين سيستم جاسوسي به نظر مي رسد مسوولين ايراني بايد بررسي جامع تري نسبت به اين موضوع داشته باشند.

 

منبع: http://www.khorasannews.com/onlinenews.aspx?newsid=1180602