مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي جزئيات ويروس رايانه اي کشف شده "رجين" را که 10 کشور از جمله ايران را هدف قرار داد اعلام کرد.
وايمکس نيوز - مرکز ماهر اعلام کرد: بدافزار Regin اهداف متنوع و به طور خاص شرکتهاي مخابراتي را در کشورهاي مختلف از جمله ايران هدف قرار داده است.
براساس اعلام اين مرکز، بدافزاري که سايمانتک معتقد است احتمالاً توسط يک حکومت ايجاد شده است، ممکن است براي مدت 8 سال مورد استفاده قرار گرفته باشد.
اين شرکت امنيت کامپيوتر يک گزارش 22 صفحهاي و يک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان يک پلتفورم جاسوسي سايبري قوي شرح داده شده که ميتواند بسته به نوع دادههاي مورد نظر، سفارشي سازي شود.
اين بدافزار با ماژولهاي متفاوت سفارشي سازي شده براي سرقت انواع خاص اطلاعات، غالباً شرکتهاي مخابراتي، کسب و کارهاي کوچک و افراد شخصي را هدف قرار داده است.
سايمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شدهاند که اغلب آنها در روسيه و عربستان سعودي قرار دارند. اما در مکزيک، ايرلند، هند، افغانستان، ايران، بلژيک، اتريش و پاکستان نيز مواردي از آلودگي به اين بدافزار مشاهده شده است.
به گفته يک محقق امنيتي سايمانتک به نام «ليام اومورچو»، نخستين نسخه Regin بين سالهاي 2008 تا 2011 فعال شد. سايمانتک تحليل نسخه ديگري از Regin را که توسط يکي از مشتريان براي اين شرکت ارسال شده بود حدود يک سال قبل آغاز کرد.
اما شواهد و ادله جرمشناسانهاي وجود دارد مبني بر اينکه Regin از سال 2006 فعال بوده است. در حقيقت سايمانتک نام Regin را براي اين بدافزار انتخاب نکرده است. به گفته اومورچو، سايمانتک اين نام را مورد استفاده قرار داده است چرا که اين بدافزار توسط ديگراني که در زمينه امنيت فعال هستند و پيش از اين در مورد اين بدافزار اطلاعاتي داشتهاند، به اين نام ناميده شده است.
اگر Regin واقعاً 8 سال داشته باشد، اين بدان معناست که حکومتها و دولتها به موفقيت عظيمي در دور زدن محصولات امنيتي دست يافتهاند، که نشانه چندان خوبي براي شرکتهايي که سعي ميکنند از دادهها محافظت کنند نيست. سايمانتک در مورد توليد کننده Regin نظري نداده است.
سايمانتک حدود يک سال براي عمومي کردن Regin صبر کرده است، چرا که تحليل آن بسيار سخت بوده است. اين بدافزار 5 مرحله جداگانه دارد، که هريک از آنها وابسته به رمزگشايي مرحله قبلي است. اين بدافزار همچنين از ارتباط نظير به نظير استفاده استفاده ميکند و از استفاده از يک سيستم مرکزي دستور و کنترل براي جمع کردن دادههاي سرقتي خودداري ميکند.
Regin يک تروجان back-door است که بسته به هدف، با گستره متنوعي از قابليتها سفارشيسازي ميشود. به گفته سايمانتک، توليد اين بدافزار ماهها و حتي سالها زمان برده است و نويسندگان آن تمام سعي خود را براي پوشاندن ردپاي اين بدافزار کردهاند.
همچنين هنوز دقيقاً مشخص نيست که کاربران چگونه توسط Regin آلوده ميشوند. به گفته اومورچو، سايمانتک فقط در مورد يک کامپيوتر کشف کرده است که از طريق ياهو مسنجر آلوده شده است.
اين احتمال وجود دارد که کاربر قرباني يک حمله مهندسي اجتماعي شده و بر روي لينکي که از طريق مسنجر ارسال شده است کليک کرده باشد. اما احتمال بيشتري وجود دارد که کنترل کنندگان Regin از يک آسيبپذيري در مسنجر آگاه بوده و بدون نياز به تعامل کاربر، سيستم وي را آلوده کرده باشند.
اومورچو معتقد است که اين تهديد از نظر تمام کارهايي که بر روي کامپيوتر انجام ميدهد بسيار پيشرفته است.
شرکتهاي مخابراتي به طور خاص توسط اين بدافزار هدف قرار گرفتهاند. يافتههاي سايمانتک نشان ميدهد که برخي شرکتها در چندين مکان و چندين کشور توسط Regin آلوده شدهاند.
به نظر ميرسد که مهاجمان به دنبال اطلاعات لاگين براي ايستگاههاي پايه (BTS) شبکه GSM بودهاند. اين ايستگاهها نخستين نقطه تماس يک دستگاه موبايل براي مسيريابي يک تماس يا درخواست داده است. سرقت اطلاعات اعتباري administrator به صاحبان Regin اجازه داده است که تنظيمات ايستگاه پايه را تغيير داده يا به دادههاي تماسهاي خاص دست يابند.
اهداف ديگر Regin شامل صنايع خطوط هوايي، ISP ها و بيمارستانها بعلاوه دولتها بوده است.
سايمانتک معتقد است که بسياري از اجزاي Regin کشف نشدهاند و هنوز ممکن است عملکردها و نسخههاي ديگري از اين بدافزار وجود داشته باشد. محققان به تحليلهاي خود ادامه ميدهند و درصورت رسيدن به نتايج جديد، آن را به اطلاع عموم خواهند رساند.
دو سال پيش ويروس استاکس به عنوان يکي از بزرگترين ويروس هاي فضاي سايبر که با هدف حمله به تاسيسات صنعتي و نيروگاهي توليد شده بود شناسايي شد.
منبع : خبرگزارى مهر