کشف یکی از پیچیدهترین بدافزارهای جاسوسی در جهان
یکی از بزرگترین شرکتهای امنیت کامپیوتری جهان میگوید ویروس سایبری پیچیدهای را کشف کرده که در نوع خود کمنظیر است. این کمپانی، شرکتهای ارتباطی روسیه و عربستان را هدف این ویروس و آلوده به آن اعلام کرده است.
به گزارش خبرگزاری دانشجویان ایران (ایسنا)، روزنامه فایننشال تایمز نوشت، کمپانی امنیت رایانهای سیمنتک اعلام کرد، ویروس جدید با نام «Regin» (رجین) از ویروس استاکسنت که در سال 2010 توسط آمریکا و اسرائیل برای حمله به رایانههای برنامه اتمی ایران ساخته شد، قویتر و بزرگتر است و توسط آژانسهای اطلاعاتی غرب ایجاد شده است.
جاسوسی اینترنتی
این کمپانی اعلام کرد: ویروس Regin توانسته سازمانهای مختلفی را هدف قرار دهد و سرویسهای تبادل ایمیل مایکروسافت و مکالمات تلفنی موبایل را در شبکههای گسترده بینالمللی هک کند. این ویروس بیشتر علیه شرکتهای ارایهدهنده اینترنت و کمپانیهای ارتباطی در روسیه و عربستان به کار گرفته شده اما کشورهای مکزیک، ایرلند و ایران نیز در معرض آن بودهاند و هنوز مشخص نیست که چقدر بر سیستمهای این کشورهای تاثیر گذاشته است.
اورلا کاکس، مدیر سیمنتک گفت: ما احتمالا به دنبال یک آژانس غربی عامل تولید این ویروس هستیم. این ویروس نوع خاصی از نرمافزار هک پیشرفته است و شاید ماهها یا سالها برای ساختش وقت صرف شده است. برخی اوقات این ویروس هیچ ردی از خود پس از هک کردن سامانههای رایانهای به جای نمیگذارد و گاهی هم پس از هک کاملا ناپدید میشود و اصلا ردی نمیگذارد که شما آن را بیابید.
رئیس کمپانی امنیت کامپیوتری کاسپراسکای نیز که به کشف ویروس استاکسنت توسط سیمنتک کمک کرد اعلام کرده ویروس جدید Regin به سیستمهای صنعتی برای دستیابی به اطلاعات حمله کرده است.
این کمپانی هشدار داده که شبکههای کامپیوتری مسوول کنترل نیروگاههای انرژی و کارخانجات، هدف حمله این ویروس قرار میگیرند.
همچنین سیمنتک نیز اعلام کرده حفره امنیتی ایجاد شده از سوی این بد افزار برای شش سال اهدافی را در سراسر جهان هدف قرار داده است.
این بدافزار پس از نفوذ به کامپیوتر میتواند از صفحات اسکرین شات بگیرد، رمزهای عبور را بدزدد و فایلهای حذف شده را پیدا کند.
این بدافزار به کامپیوتر نهادهای دولتی، شرکتهای تجاری و اشخاص حقیقی نفوذ کرده است.
سیان جان، یکی از متخصصان شرکت سیمنتک میگوید: "با توجه به سطح مهارت طراحان و زمانی که صرف توسعه و طراحی بدافزار شده، به نظر میآید یک نهاد دولتی در غرب این ویروس را طراحی کرده باشد."
بزرگتر از استاکس نت هم پیدا شد
http://www.itna.ir/vdcjyxet.uqetyzsffu.html
--- ویرایش شده ---
نیما مجیدی
حدود یک هفته پیش بود که مقالهای تحت وقتی همه خوابیم(قسمت اول) منتشر شد، حالا پس از گذشت یک هفته شرکت سیمانتک گزارشی تهیه کرده است تحت عنوان بدافزار "رجین" که به صورت پیشرفتهای از سال ۲۰۰۸ فعال بوده و مراکز مختلفی از شرکتهای خصوصی تا مراکز انرژی را هدف قرار داده است.
اما بیشترین میزان آلودگی که توسط شرکت سیمانتک مشاهده شده است در مورد شرکتهای خصوصی به میزان ۴۸ درصد و شرکتهای مخابراتی به میزان ۲۸ درصد بوده است. در این میان سهمی هم شامل بخشهای تحقیقاتی، درمانی و خطوط هوایی بوده است.
ایران هم باز مثل همیشه سهمی از میزان آلودگی را داشته است.
نکته اصلی اینجاست که با قرار دادن قطعات این پازل در کنار هم میتوان به این نتیجه رسید که در حال حاضر نیز فعالیت بدافزارهای متنوعی در داخل ایران زیاد دور از ذهن نیست! و تا زمانی که شرکتهایی به واسطه روابط خود بحث امنیت اطلاعات را در داخل کشور انحصاری کردهاند و از تولید محصول بومی گرفته تا فروش محصولات خارجی هندی فعالیت میکنند هیچ پیشرفتی در مبارزه به حملات سایبری در کشور انجام نخواهد گرفت.
من گزارش منتشر شده را به دقت مطالعه کردهام و نکات مورد توجه در مورد Regin را در ادامه بیان خواهم کرد. همچنین در انتها به آخرین اطلاعات که برای اولین باز از نقاط شیوع بدافزار Stuxnet توسط شرکت کسپرسکی به تازگی منتشر شده است بیان خواهد شد.
فعالیت در سکوت
این بدافزار حداقل از سال ۲۰۰۸ تا سال ۲۰۱۳ و شاید تا هم اکنون فعالیت داشته است. حدود دو نسخه اصلی اول و دوم و یک نسخه میانی تاکنون شناسایی شدهاند.
متاسفانه به دلیل اینکه در برخی موارد بدافزار توسط تولید کنندگان آن پس از حمله و دزدی اطلاعات از سیستمها پاک شده فعلا نمیتوان اطلاعات بیشتری در این زمینه منتشر کرد.
شاید نسخههای بیشتری تولید و در ۶ سال گذشته مورد استفاده قرار گرفته باشند.
اهداف متنوع
تولید کنندگان این بدافزار به صورت خاص تنها بخش دولتی را مورد هدف قرار ندادهاند، حتی شرکتهای خصوصی هم مورد حمله قرار گرفتهاند. آلودگی به این بدافزار در ۱۰ کشور در حال حاضر مشخص شده است که ایران نیز در کنار کشورهایی دیگر مانند عربستان، روسیه، بلژیک، هند،... قرار گرفته است.
سهم آلودگی ایران در حال حاضر به میزان ۵ درصد از کل میزان آلودگی شناسایی شده است.
نحوه آلودگی
مشخص نیست دقیقا به چه نحوی سیستمهای قربانی به این بدافزار آلوده شدهاند. در برخی موارد به کمک سوءاستفاده از کد آسیب پذیری ناشناخته در برنامه Yahoo!Messenger و در برخی دیگر از موارد با سوءاستفاده از برنامههای مرورگر وب بر روی سیستمهای قربانیان نصب شدهاند. به هر حال برنامه Yahoo! Messenger در ایران مورد علاقه افراد بسیاری است و آلودگی از این نقطه زیاد دور از ذهن نیست.
پیچیدگی در ساختار بدافزار
پس از انتشار بدافزارهایی مانند Stuxnet و Duqu و Flame که منابع ایران را به صورت مستقیم هدف قرار داده بودند و همگی از لحاظ پیچیدگی و نظم در ساختار تولید بدافزارهایی حرفهای محسوب میشدند حالا رجین (Regin) به همان سبک و دقیقا به همان شکل از پیچیدگی ظاهر شده است.
این بدافزار پس از نصب از تمهیدات زیادی برای پنهان سازی خود استفاده کرده تا جایی که بخشی از اطلاعات خود را با استفاده از یک استاندارد مجازی سازی بر روی هارد دیسک ذخیره میکرده. یا حتی برای اتصال به سرویسهای کنترل و فرماندهی (C&C servers) از پروتکلهای UDP و حتی ICMP استفاده شده است.
سوالی که دوباره مطرح میشود: آیا زمان بیداری نیست!؟!
یکی از سوالاتی که پس از انتشار Stuxnet ذهن من را به خود مشغول کرده بود نقاط اولیه شیوع آلودگی بدافزار Stuxnet بود. متاسفانه به علت عدم دسترسی به منابع لازم که به راحتی در اختیار برخی سازمانهای دیگر میباشد هیچوقت مشخص نشد. خبرهایی مبنی بر آلودگی توسط افراد نامشخص در همان ابتدا منتشر شد که متاسفانه در حد تیتر خبری برخی خبرگزاریها باقی ماند و به تاریخ پیوست.
شرکت سیمانتک به دلیل در دسترس داشتن کنترل سرورهای اصلی C&C و بررسی ترافیک دریافتی از سیستمهای آلوده در داخل ایران توانست در مقالهای که در سال ۲۰۱۱ منتشر کرد ۵ نقطه اصلی را به عنوان نقاط اولیه شیوع آلودگی مطرح نماید. اما بدون عنوان نام آنها که بیشک به دلایل سردرگم کردن محققان داخلی کشور بوده است.
حالا شرکت کسپرسکی بعد از دو سال و بررسی بیش از ۲۰۰۰۰ نمونه بدافزار نام شرکتهای اولیه که در داخل ایران آلوده شدهاند را به صورت عمومی در مقالهای منتشر کرده است.
۲۲ ژوئن ۲۰۰۹ - اول تیر ۱۳۸۸ : اولین آلوده سازی شرکت مهندسی بین المللی فولاد تکنیک(سهامی خاص)
۷ جولای ۲۰۰۹ – شانزدهم تیر ۱۳۸۸ : آلوده سازی گروه صنعتی ندا
جولای سال ۲۰۰۹ – تیر ۱۳۸۸ : آلوده سازی شرکت کنترل گستر جاهد – به علت گستردگی فعالیت این شرکت شیوع بدافزار توسط طراحان آن متوقف میشود تا سیستمهایی در خارج از ایران یا نقاط دیگر ایران آلوده نشوند و حمله همچنان در سکون پپش برود.
ماه مه-مارس ۲۰۱۰ – اسفند، اردیبهشت ۱۳۸۹ : آلوده سازی شرکت مهندسی بهپژوه(مجری پروژههای EPC) در ماه آوریل انتقال آلوده سازی به شرکت فولاد مبارکه به دلیل گستردگی فعالیت این شرکت
۱۱ مه ۲۰۱۰ – ۲۱ اردیبهشت ۱۳۸۹ : شروع آلودگی در سطح بالا در شرکت کالای الکترونیک
درسی که میتوان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکتهایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بودهاند را شناسایی و قدم به قدم دست به آلوده سازی آنها زدهاند و سپس پس از جمعآوری اطلاعات قدم بعدی را برداشتهاند. حتی در مواردی که به این نتیجه رسیدهاند که ممکن است شیوع بدافزار در یک شرکت به لو رفتن حمله منجر شود از شیوع بیشتر آن جلوگیری کردهاند.
پس باید در مواردی این چنینی اگر سازمانی به صورت گسترده در حال فعالیت با شرکتهای دیگر است باید پروتکلهای امنیتی پیشرفتهای را تهیه کند تا تبادل اطلاعات قابل ذخیره سازی باشد تا در آینده بتوان در کشف حملات از این اطلاعات استفاده کرد؛ و همانطور که مشاهده میشود همیشه محدود سازی تاثیر مثبتی نخواهد داشت.
نکته پایانی: هیچ لزومی ندارد وقتی دنیا اطلاعات از دست رفته است وقت خود را برای مخفی کاری و نفی کردن حقیقت صرف کنیم، بلکه برای پیشگیری از اتفاقات آتی از این تجارب استفاده کنیم.
منابع :
http://blog.kaspersky.com/stuxnet-victims-zero
http://www.theregister.co.uk/2014/11/24/regin
http://www.symantec.com/connect/blogs/r ... rveillance
http://www.symantec.com/content/en/us/e ... alysis.pdf
--- ویرایش شده ---
نیما مجیدی
حدود یک هفته پیش بود که مقالهای تحت وقتی همه خوابیم(قسمت اول) منتشر شد، حالا پس از گذشت یک هفته شرکت سیمانتک گزارشی تهیه کرده است تحت عنوان بدافزار "رجین" که به صورت پیشرفتهای از سال ۲۰۰۸ فعال بوده و مراکز مختلفی از شرکتهای خصوصی تا مراکز انرژی را هدف قرار داده است.
اما بیشترین میزان آلودگی که توسط شرکت سیمانتک مشاهده شده است در مورد شرکتهای خصوصی به میزان ۴۸ درصد و شرکتهای مخابراتی به میزان ۲۸ درصد بوده است. در این میان سهمی هم شامل بخشهای تحقیقاتی، درمانی و خطوط هوایی بوده است.
ایران هم باز مثل همیشه سهمی از میزان آلودگی را داشته است.
نکته اصلی اینجاست که با قرار دادن قطعات این پازل در کنار هم میتوان به این نتیجه رسید که در حال حاضر نیز فعالیت بدافزارهای متنوعی در داخل ایران زیاد دور از ذهن نیست! و تا زمانی که شرکتهایی به واسطه روابط خود بحث امنیت اطلاعات را در داخل کشور انحصاری کردهاند و از تولید محصول بومی گرفته تا فروش محصولات خارجی هندی فعالیت میکنند هیچ پیشرفتی در مبارزه به حملات سایبری در کشور انجام نخواهد گرفت.
من گزارش منتشر شده را به دقت مطالعه کردهام و نکات مورد توجه در مورد Regin را در ادامه بیان خواهم کرد. همچنین در انتها به آخرین اطلاعات که برای اولین باز از نقاط شیوع بدافزار Stuxnet توسط شرکت کسپرسکی به تازگی منتشر شده است بیان خواهد شد.
فعالیت در سکوت
این بدافزار حداقل از سال ۲۰۰۸ تا سال ۲۰۱۳ و شاید تا هم اکنون فعالیت داشته است. حدود دو نسخه اصلی اول و دوم و یک نسخه میانی تاکنون شناسایی شدهاند.
متاسفانه به دلیل اینکه در برخی موارد بدافزار توسط تولید کنندگان آن پس از حمله و دزدی اطلاعات از سیستمها پاک شده فعلا نمیتوان اطلاعات بیشتری در این زمینه منتشر کرد.
شاید نسخههای بیشتری تولید و در ۶ سال گذشته مورد استفاده قرار گرفته باشند.
اهداف متنوع
تولید کنندگان این بدافزار به صورت خاص تنها بخش دولتی را مورد هدف قرار ندادهاند، حتی شرکتهای خصوصی هم مورد حمله قرار گرفتهاند. آلودگی به این بدافزار در ۱۰ کشور در حال حاضر مشخص شده است که ایران نیز در کنار کشورهایی دیگر مانند عربستان، روسیه، بلژیک، هند،... قرار گرفته است.
سهم آلودگی ایران در حال حاضر به میزان ۵ درصد از کل میزان آلودگی شناسایی شده است.
نحوه آلودگی
مشخص نیست دقیقا به چه نحوی سیستمهای قربانی به این بدافزار آلوده شدهاند. در برخی موارد به کمک سوءاستفاده از کد آسیب پذیری ناشناخته در برنامه Yahoo!Messenger و در برخی دیگر از موارد با سوءاستفاده از برنامههای مرورگر وب بر روی سیستمهای قربانیان نصب شدهاند. به هر حال برنامه Yahoo! Messenger در ایران مورد علاقه افراد بسیاری است و آلودگی از این نقطه زیاد دور از ذهن نیست.
پیچیدگی در ساختار بدافزار
پس از انتشار بدافزارهایی مانند Stuxnet و Duqu و Flame که منابع ایران را به صورت مستقیم هدف قرار داده بودند و همگی از لحاظ پیچیدگی و نظم در ساختار تولید بدافزارهایی حرفهای محسوب میشدند حالا رجین (Regin) به همان سبک و دقیقا به همان شکل از پیچیدگی ظاهر شده است.
این بدافزار پس از نصب از تمهیدات زیادی برای پنهان سازی خود استفاده کرده تا جایی که بخشی از اطلاعات خود را با استفاده از یک استاندارد مجازی سازی بر روی هارد دیسک ذخیره میکرده. یا حتی برای اتصال به سرویسهای کنترل و فرماندهی (C&C servers) از پروتکلهای UDP و حتی ICMP استفاده شده است.
سوالی که دوباره مطرح میشود: آیا زمان بیداری نیست!؟!
یکی از سوالاتی که پس از انتشار Stuxnet ذهن من را به خود مشغول کرده بود نقاط اولیه شیوع آلودگی بدافزار Stuxnet بود. متاسفانه به علت عدم دسترسی به منابع لازم که به راحتی در اختیار برخی سازمانهای دیگر میباشد هیچوقت مشخص نشد. خبرهایی مبنی بر آلودگی توسط افراد نامشخص در همان ابتدا منتشر شد که متاسفانه در حد تیتر خبری برخی خبرگزاریها باقی ماند و به تاریخ پیوست.
شرکت سیمانتک به دلیل در دسترس داشتن کنترل سرورهای اصلی C&C و بررسی ترافیک دریافتی از سیستمهای آلوده در داخل ایران توانست در مقالهای که در سال ۲۰۱۱ منتشر کرد ۵ نقطه اصلی را به عنوان نقاط اولیه شیوع آلودگی مطرح نماید. اما بدون عنوان نام آنها که بیشک به دلایل سردرگم کردن محققان داخلی کشور بوده است.
حالا شرکت کسپرسکی بعد از دو سال و بررسی بیش از ۲۰۰۰۰ نمونه بدافزار نام شرکتهای اولیه که در داخل ایران آلوده شدهاند را به صورت عمومی در مقالهای منتشر کرده است.
۲۲ ژوئن ۲۰۰۹ - اول تیر ۱۳۸۸ : اولین آلوده سازی شرکت مهندسی بین المللی فولاد تکنیک(سهامی خاص)
۷ جولای ۲۰۰۹ – شانزدهم تیر ۱۳۸۸ : آلوده سازی گروه صنعتی ندا
جولای سال ۲۰۰۹ – تیر ۱۳۸۸ : آلوده سازی شرکت کنترل گستر جاهد – به علت گستردگی فعالیت این شرکت شیوع بدافزار توسط طراحان آن متوقف میشود تا سیستمهایی در خارج از ایران یا نقاط دیگر ایران آلوده نشوند و حمله همچنان در سکون پپش برود.
ماه مه-مارس ۲۰۱۰ – اسفند، اردیبهشت ۱۳۸۹ : آلوده سازی شرکت مهندسی بهپژوه(مجری پروژههای EPC) در ماه آوریل انتقال آلوده سازی به شرکت فولاد مبارکه به دلیل گستردگی فعالیت این شرکت
۱۱ مه ۲۰۱۰ – ۲۱ اردیبهشت ۱۳۸۹ : شروع آلودگی در سطح بالا در شرکت کالای الکترونیک
درسی که میتوان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکتهایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بودهاند را شناسایی و قدم به قدم دست به آلوده سازی آنها زدهاند و سپس پس از جمعآوری اطلاعات قدم بعدی را برداشتهاند. حتی در مواردی که به این نتیجه رسیدهاند که ممکن است شیوع بدافزار در یک شرکت به لو رفتن حمله منجر شود از شیوع بیشتر آن جلوگیری کردهاند.
پس باید در مواردی این چنینی اگر سازمانی به صورت گسترده در حال فعالیت با شرکتهای دیگر است باید پروتکلهای امنیتی پیشرفتهای را تهیه کند تا تبادل اطلاعات قابل ذخیره سازی باشد تا در آینده بتوان در کشف حملات از این اطلاعات استفاده کرد؛ و همانطور که مشاهده میشود همیشه محدود سازی تاثیر مثبتی نخواهد داشت.
نکته پایانی: هیچ لزومی ندارد وقتی دنیا اطلاعات از دست رفته است وقت خود را برای مخفی کاری و نفی کردن حقیقت صرف کنیم، بلکه برای پیشگیری از اتفاقات آتی از این تجارب استفاده کنیم.
منابع :
http://blog.kaspersky.com/stuxnet-victims-zero
http://www.theregister.co.uk/2014/11/24/regin
http://www.symantec.com/connect/blogs/r ... rveillance
http://www.symantec.com/content/en/us/e ... alysis.pdf
خواندنی درباره ویروس رایانهای«رجین»
بدافزار Regin اهداف متنوع و به طور خاص شرکتهای مخابراتی را در کشورهای مختلف هدف قرار داده است.
به گزارش مهر ،براساس اعلام مرکز ماهر بدافزاری که سایمانتک معتقد است احتمالاً توسط یک حکومت ایجاد شده است، ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد.
این شرکت امنیت کامپیوتر یک گزارش 22 صفحهای و یک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان یک پلتفورم جاسوسی سایبری قوی شرح داده شده که میتواند بسته به نوع دادههای مورد نظر، سفارشی سازی شود.
این بدافزار با ماژولهای متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکتهای مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است.
سایمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شدهاند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به گفته یک محقق امنیتی سایمانتک به نام «لیام اومورچو»، نخستین نسخه Regin بین سالهای 2008 تا 2011 فعال شد. سایمانتک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد.
اما شواهد و ادله جرمشناسانهای وجود دارد مبنی بر اینکه Regin از سال 2006 فعال بوده است. در حقیقت سایمانتک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو، سایمانتک این نام را مورد استفاده قرار داده است چرا که این بدافزار توسط دیگرانی که در زمینه امنیت فعال هستند و پیش از این در مورد این بدافزار اطلاعاتی داشتهاند، به این نام نامیده شده است.
اگر Regin واقعاً 8 سال داشته باشد، این بدان معناست که حکومتها و دولتها به موفقیت عظیمی در دور زدن محصولات امنیتی دست یافتهاند، که نشانه چندان خوبی برای شرکتهایی که سعی میکنند از دادهها محافظت کنند نیست. سایمانتک در مورد تولید کننده Regin نظری نداده است.
سایمانتک حدود یک سال برای عمومی کردن Regin صبر کرده است، چرا که تحلیل آن بسیار سخت بوده است. این بدافزار 5 مرحله جداگانه دارد، که هریک از آنها وابسته به رمزگشایی مرحله قبلی است. این بدافزار همچنین از ارتباط نظیر به نظیر استفاده استفاده میکند و از استفاده از یک سیستم مرکزی دستور و کنترل برای جمع کردن دادههای سرقتی خودداری میکند.
Regin یک تروجان back-door است که بسته به هدف، با گستره متنوعی از قابلیتها سفارشیسازی میشود. به گفته سایمانتک، تولید این بدافزار ماهها و حتی سالها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کردهاند.
همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده میشوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است.
این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترل کنندگان Regin از یک آسیبپذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.
اومورچو معتقد است که این تهدید از نظر تمام کارهایی که بر روی کامپیوتر انجام میدهد بسیار پیشرفته است.
شرکتهای مخابراتی به طور خاص توسط این بدافزار هدف قرار گرفتهاند. یافتههای سایمانتک نشان میدهد که برخی شرکتها در چندین مکان و چندین کشور توسط Regin آلوده شدهاند.
به نظر میرسد که مهاجمان به دنبال اطلاعات لاگین برای ایستگاههای پایه (BTS) شبکه GSM بودهاند. این ایستگاهها نخستین نقطه تماس یک دستگاه موبایل برای مسیریابی یک تماس یا درخواست داده است. سرقت اطلاعات اعتباری administrator به صاحبان Regin اجازه داده است که تنظیمات ایستگاه پایه را تغییر داده یا به دادههای تماسهای خاص دست یابند.
اهداف دیگر Regin شامل صنایع خطوط هوایی، ISP ها و بیمارستانها بعلاوه دولتها بوده است.
سایمانتک معتقد است که بسیاری از اجزای Regin کشف نشدهاند و هنوز ممکن است عملکردها و نسخههای دیگری از این بدافزار وجود داشته باشد. محققان به تحلیلهای خود ادامه میدهند و درصورت رسیدن به نتایج جدید، آن را به اطلاع عموم خواهند رساند.
دو سال پیش ویروس استاکس به عنوان یکی از بزرگترین ویروسهای فضای سایبر که با هدف حمله به تاسیسات صنعتی و نیروگاهی تولید شده بود شناسایی شد.
http://www.tabnak.ir/fa/news/453506/%D8 ... B%8C%D9%86
بدافزار Regin اهداف متنوع و به طور خاص شرکتهای مخابراتی را در کشورهای مختلف هدف قرار داده است.
به گزارش مهر ،براساس اعلام مرکز ماهر بدافزاری که سایمانتک معتقد است احتمالاً توسط یک حکومت ایجاد شده است، ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد.
این شرکت امنیت کامپیوتر یک گزارش 22 صفحهای و یک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان یک پلتفورم جاسوسی سایبری قوی شرح داده شده که میتواند بسته به نوع دادههای مورد نظر، سفارشی سازی شود.
این بدافزار با ماژولهای متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکتهای مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است.
سایمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شدهاند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به گفته یک محقق امنیتی سایمانتک به نام «لیام اومورچو»، نخستین نسخه Regin بین سالهای 2008 تا 2011 فعال شد. سایمانتک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد.
اما شواهد و ادله جرمشناسانهای وجود دارد مبنی بر اینکه Regin از سال 2006 فعال بوده است. در حقیقت سایمانتک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو، سایمانتک این نام را مورد استفاده قرار داده است چرا که این بدافزار توسط دیگرانی که در زمینه امنیت فعال هستند و پیش از این در مورد این بدافزار اطلاعاتی داشتهاند، به این نام نامیده شده است.
اگر Regin واقعاً 8 سال داشته باشد، این بدان معناست که حکومتها و دولتها به موفقیت عظیمی در دور زدن محصولات امنیتی دست یافتهاند، که نشانه چندان خوبی برای شرکتهایی که سعی میکنند از دادهها محافظت کنند نیست. سایمانتک در مورد تولید کننده Regin نظری نداده است.
سایمانتک حدود یک سال برای عمومی کردن Regin صبر کرده است، چرا که تحلیل آن بسیار سخت بوده است. این بدافزار 5 مرحله جداگانه دارد، که هریک از آنها وابسته به رمزگشایی مرحله قبلی است. این بدافزار همچنین از ارتباط نظیر به نظیر استفاده استفاده میکند و از استفاده از یک سیستم مرکزی دستور و کنترل برای جمع کردن دادههای سرقتی خودداری میکند.
Regin یک تروجان back-door است که بسته به هدف، با گستره متنوعی از قابلیتها سفارشیسازی میشود. به گفته سایمانتک، تولید این بدافزار ماهها و حتی سالها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کردهاند.
همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده میشوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است.
این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترل کنندگان Regin از یک آسیبپذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.
اومورچو معتقد است که این تهدید از نظر تمام کارهایی که بر روی کامپیوتر انجام میدهد بسیار پیشرفته است.
شرکتهای مخابراتی به طور خاص توسط این بدافزار هدف قرار گرفتهاند. یافتههای سایمانتک نشان میدهد که برخی شرکتها در چندین مکان و چندین کشور توسط Regin آلوده شدهاند.
به نظر میرسد که مهاجمان به دنبال اطلاعات لاگین برای ایستگاههای پایه (BTS) شبکه GSM بودهاند. این ایستگاهها نخستین نقطه تماس یک دستگاه موبایل برای مسیریابی یک تماس یا درخواست داده است. سرقت اطلاعات اعتباری administrator به صاحبان Regin اجازه داده است که تنظیمات ایستگاه پایه را تغییر داده یا به دادههای تماسهای خاص دست یابند.
اهداف دیگر Regin شامل صنایع خطوط هوایی، ISP ها و بیمارستانها بعلاوه دولتها بوده است.
سایمانتک معتقد است که بسیاری از اجزای Regin کشف نشدهاند و هنوز ممکن است عملکردها و نسخههای دیگری از این بدافزار وجود داشته باشد. محققان به تحلیلهای خود ادامه میدهند و درصورت رسیدن به نتایج جدید، آن را به اطلاع عموم خواهند رساند.
دو سال پیش ویروس استاکس به عنوان یکی از بزرگترین ویروسهای فضای سایبر که با هدف حمله به تاسیسات صنعتی و نیروگاهی تولید شده بود شناسایی شد.
http://www.tabnak.ir/fa/news/453506/%D8 ... B%8C%D9%86