بدافزاری که از هشت سال پیش فعال بوده است

به گفته سایمانتک، بدافزار Regin اهداف متنوع و به طور خاص شرکت‌های مخابراتی را در کشورهای مختلف هدف قرار داده است.
 
بدافزاری که سایمانتک معتقد است احتمالاً توسط یک حکومت ایجاد شده است، ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد.
روز یکشنبه، این شرکت امنیت کامپیوتر یک گزارش 22 صفحه‌ای و یک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان یک پلتفورم جاسوسی سایبری قوی شرح داده شده است که می‌تواند بسته به نوع داده‌های مورد نظر، سفارشی سازی شود.
این بدافزار با ماژول‌های متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکت‌های مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است. سایمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شده‌اند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به گفته یک محقق امنیتی سایمانتک به نام «لیام اومورچو»، نخستین نسخه Regin بین سال‌های 2008 تا 2011 فعال شد. سایمانتک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد.
اما شواهد و ادله جرم‌شناسانه‌ای وجود دارد مبنی بر اینکه Regin از سال 2006 فعال بوده است. در حقیقت سایمانتک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو، سایمانتک این نام را مورد استفاده قرار داده است چرا که این بدافزار توسط دیگرانی که در زمینه امنیت فعال هستند و پیش از این در مورد این بدافزار اطلاعاتی داشته‌اند، به این نام نامیده شده است.
اگر Regin واقعاً 8 سال داشته باشد، این بدان معناست که حکومت‌ها و دولت‌ها به موفقیت عظیمی در دور زدن محصولات امنیتی دست یافته‌اند، که نشانه چندان خوبی برای شرکت‌هایی که سعی می‌کنند از داده‌ها محافظت کنند نیست. سایمانتک در مورد تولید کننده Regin نظری نداده است.
سایمانتک حدود یک سال برای عمومی کردن Regin صبر کرده است، چرا که تحلیل آن بسیار سخت بوده است. این بدافزار 5 مرحله جداگانه دارد، که هریک از آنها وابسته به رمزگشایی مرحله قبلی است. این بدافزار همچنین از ارتباط نظیر به نظیر استفاده استفاده می‌کند و از استفاده از یک سیستم مرکزی دستور و کنترل برای جمع کردن داده‌های سرقتی خودداری می‌کند.
Regin یک تروجان back-door است که بسته به هدف، با گستره متنوعی از قابلیت‌ها سفارشی‌سازی می‌شود. به گفته سایمانتک، تولید این بدافزار ماه‌ها و حتی سال‌ها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کرده‌اند.
همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده می‌شوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است.
این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترل کنندگان Regin از یک آسیب‌پذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.
اومورچو معتقد است که این تهدید از نظر تمام کارهایی که بر روی کامپیوتر انجام می‌دهد بسیار پیشرفته است.
شرکت‌های مخابراتی به طور خاص توسط این بدافزار هدف قرار گرفته‌اند. یافته‌های سایمانتک نشان می‌دهد که برخی شرکت‌ها در چندین مکان و چندین کشور توسط Regin آلوده شده‌اند.
به نظر می‌رسد که مهاجمان به دنبال اطلاعات لاگین برای ایستگاه‌های پایه (BTS) شبکه GSM بوده‌اند. این ایستگاه‌ها نخستین نقطه تماس یک دستگاه موبایل برای مسیریابی یک تماس یا درخواست داده است. سرقت اطلاعات اعتباری administrator به صاحبان Regin اجازه داده است که تنظیمات ایستگاه پایه را تغییر داده یا به داده‌های تماس‌های خاص دست یابند.
اهداف دیگر Regin شامل صنایع خطوط هوایی، ISP ها و بیمارستان‌ها بعلاوه دولت‌ها بوده است.
سایمانتک معتقد است که بسیاری از اجزای Regin کشف نشده‌اند و هنوز ممکن است عملکردها و نسخه‌های دیگری از این بدافزار وجود داشته باشد. محققان به تحلیل‌های خود ادامه می‌دهند و درصورت رسیدن به نتایج جدید، آن را به اطلاع عموم خواهند رساند.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: