مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي جزئيات ويروس رايانه اي کشف شده "رجين" را که 10 کشور از جمله ايران را هدف قرار داد اعلام کرد.

وايمکس نيوز - مرکز ماهر اعلام کرد: بدافزار Regin اهداف متنوع و به طور خاص شرکت‌هاي مخابراتي را در کشورهاي مختلف از جمله ايران هدف قرار داده است.

براساس اعلام اين مرکز، بدافزاري که سايمانتک معتقد است احتمالاً توسط يک حکومت ايجاد شده است، ممکن است براي مدت 8 سال مورد استفاده قرار گرفته باشد.

اين شرکت امنيت کامپيوتر يک گزارش 22 صفحه‌اي و يک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان يک پلتفورم جاسوسي سايبري قوي شرح داده شده که مي‌تواند بسته به نوع داده‌هاي مورد نظر، سفارشي سازي شود.

اين بدافزار با ماژول‌هاي متفاوت سفارشي سازي شده براي سرقت انواع خاص اطلاعات، غالباً شرکت‌هاي مخابراتي، کسب و کارهاي کوچک و افراد شخصي را هدف قرار داده است.

سايمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شده‌اند که اغلب آنها در روسيه و عربستان سعودي قرار دارند. اما در مکزيک، ايرلند، هند، افغانستان، ايران، بلژيک، اتريش و پاکستان نيز مواردي از آلودگي به اين بدافزار مشاهده شده است.

به گفته يک محقق امنيتي سايمانتک به نام «ليام اومورچو»، نخستين نسخه Regin بين سال‌هاي 2008 تا 2011 فعال شد. سايمانتک تحليل نسخه ديگري از Regin را که توسط يکي از مشتريان براي اين شرکت ارسال شده بود حدود يک سال قبل آغاز کرد.

اما شواهد و ادله جرم‌شناسانه‌اي وجود دارد مبني بر اينکه Regin از سال 2006 فعال بوده است. در حقيقت سايمانتک نام Regin را براي اين بدافزار انتخاب نکرده است. به گفته اومورچو، سايمانتک اين نام را مورد استفاده قرار داده است چرا که اين بدافزار توسط ديگراني که در زمينه امنيت فعال هستند و پيش از اين در مورد اين بدافزار اطلاعاتي داشته‌اند، به اين نام ناميده شده است.

اگر Regin واقعاً 8 سال داشته باشد، اين بدان معناست که حکومت‌ها و دولت‌ها به موفقيت عظيمي در دور زدن محصولات امنيتي دست يافته‌اند، که نشانه چندان خوبي براي شرکت‌هايي که سعي مي‌کنند از داده‌ها محافظت کنند نيست. سايمانتک در مورد توليد کننده Regin نظري نداده است.

سايمانتک حدود يک سال براي عمومي کردن Regin صبر کرده است، چرا که تحليل آن بسيار سخت بوده است. اين بدافزار 5 مرحله جداگانه دارد، که هريک از آنها وابسته به رمزگشايي مرحله قبلي است. اين بدافزار همچنين از ارتباط نظير به نظير استفاده استفاده مي‌کند و از استفاده از يک سيستم مرکزي دستور و کنترل براي جمع کردن داده‌هاي سرقتي خودداري مي‌کند.

Regin  يک تروجان back-door است که بسته به هدف، با گستره متنوعي از قابليت‌ها سفارشي‌سازي مي‌شود. به گفته سايمانتک، توليد اين بدافزار ماه‌ها و حتي سال‌ها زمان برده است و نويسندگان آن تمام سعي خود را براي پوشاندن ردپاي اين بدافزار کرده‌اند.

همچنين هنوز دقيقاً مشخص نيست که کاربران چگونه توسط Regin آلوده مي‌شوند. به گفته اومورچو، سايمانتک فقط در مورد يک کامپيوتر کشف کرده است که از طريق ياهو مسنجر آلوده شده است.

اين احتمال وجود دارد که کاربر قرباني يک حمله مهندسي اجتماعي شده و بر روي لينکي که از طريق مسنجر ارسال شده است کليک کرده باشد. اما احتمال بيشتري وجود دارد که کنترل کنندگان Regin از يک آسيب‌پذيري در مسنجر آگاه بوده و بدون نياز به تعامل کاربر، سيستم وي را آلوده کرده باشند.

اومورچو معتقد است که اين تهديد از نظر تمام کارهايي که بر روي کامپيوتر انجام مي‌دهد بسيار پيشرفته است.

شرکت‌هاي مخابراتي به طور خاص توسط اين بدافزار هدف قرار گرفته‌اند. يافته‌هاي سايمانتک نشان مي‌دهد که برخي شرکت‌ها در چندين مکان و چندين کشور توسط Regin آلوده شده‌اند.

به نظر مي‌رسد که مهاجمان به دنبال اطلاعات لاگين براي ايستگاه‌هاي پايه (BTS) شبکه GSM بوده‌اند. اين ايستگاه‌ها نخستين نقطه تماس يک دستگاه موبايل براي مسيريابي يک تماس يا درخواست داده است. سرقت اطلاعات اعتباري administrator به صاحبان Regin اجازه داده است که تنظيمات ايستگاه پايه را تغيير داده يا به داده‌هاي تماس‌هاي خاص دست يابند.

اهداف ديگر Regin شامل صنايع خطوط هوايي، ISP ها و بيمارستان‌ها بعلاوه دولت‌ها بوده است.

سايمانتک معتقد است که بسياري از اجزاي Regin کشف نشده‌اند و هنوز ممکن است عملکردها و نسخه‌هاي ديگري از اين بدافزار وجود داشته باشد. محققان به تحليل‌هاي خود ادامه مي‌دهند و درصورت رسيدن به نتايج جديد، آن را به اطلاع عموم خواهند رساند.

دو سال پيش ويروس استاکس به عنوان يکي از بزرگترين ويروس هاي فضاي سايبر که با هدف حمله به تاسيسات صنعتي و نيروگاهي توليد شده بود شناسايي شد.

منبع : خبرگزارى مهر