تالار پشتیبانی شرکت نرم‌افزاری امن‌پرداز

کشف یکی از پیچیده‌ترین بدافزارهای جاسوسی در جهان

یکی از بزرگ‌ترین شرکت‌های امنیت کامپیو‌تری جهان می‌گوید ویروس سایبری پیچیده‌ای را کشف کرده که در نوع خود کم‌نظیر است. این کمپانی، شرکت‌های ارتباطی روسیه و عربستان را هدف این ویروس و آلوده به آن اعلام کرده است.

به گزارش خبرگزاری دانشجویان ایران (ایسنا)، روزنامه فایننشال تایمز نوشت، کمپانی امنیت رایانه‌ای سیمنتک اعلام کرد، ویروس جدید با نام «Regin» (رجین) از ویروس استاکسنت که در سال 2010 توسط آمریکا و اسرائیل برای حمله به رایانه‌های برنامه اتمی ایران ساخته شد، قوی‌تر و بزرگتر است و توسط آژانس‌های اطلاعاتی غرب ایجاد شده است.


جاسوسی اینترنتی
این کمپانی اعلام کرد: ویروس Regin توانسته سازمان‌های مختلفی را هدف قرار دهد و سرویس‌های تبادل ایمیل مایکروسافت و مکالمات تلفنی موبایل را در شبکه‌های گسترده بین‌المللی هک کند. این ویروس بیشتر علیه شرکت‌های ارایه‌دهنده اینترنت و کمپانی‌های ارتباطی در روسیه و عربستان به کار گرفته شده اما کشورهای مکزیک، ایرلند و ایران نیز در معرض آن بوده‌اند و هنوز مشخص نیست که چقدر بر سیستم‌های این کشورهای تاثیر گذاشته‌ است.

اورلا کاکس، مدیر سیمنتک گفت: ما احتمالا به دنبال یک آژانس غربی عامل تولید این ویروس هستیم. این ویروس نوع خاصی از نرم‌افزار هک پیشرفته است و شاید ماه‌ها یا سال‌ها برای ساختش وقت صرف شده است. برخی اوقات این ویروس هیچ ردی از خود پس از هک کردن سامانه‌های رایانه‌ای به جای نمی‌گذارد و گاهی هم پس از هک کاملا ناپدید می‌شود و اصلا ردی نمی‌گذارد که شما آن را بیابید.

رئیس کمپانی امنیت کامپیوتری کاسپراسکای نیز که به کشف ویروس استاکسنت توسط سیمنتک کمک کرد اعلام کرده ویروس جدید Regin به سیستم‌های صنعتی برای دستیابی به اطلاعات حمله کرده است.

این کمپانی هشدار داده که شبکه‌های کامپیوتری مسوول کنترل نیروگاه‌های انرژی و کارخانجات، هدف حمله این ویروس قرار می‌گیرند.

هم‌چنین سیمنتک نیز اعلام کرده حفره امنیتی ایجاد شده از سوی این بد افزار برای شش سال اهدافی را در سراسر جهان هدف قرار داده است.

این بدافزار پس از نفوذ به کامپیو‌تر می‌تواند از صفحات اسکرین شات بگیرد، رمزهای عبور را بدزدد و فایل‌های حذف شده را پیدا کند.

این بدافزار به کامپیوتر نهادهای دولتی، شرکت‌های تجاری و اشخاص حقیقی نفوذ کرده است.

سیان جان، یکی از متخصصان شرکت سیمنتک می‌گوید: "با توجه به سطح مهارت طراحان و زمانی که صرف توسعه و طراحی بدافزار شده، به نظر می‌آید یک نهاد دولتی در غرب این ویروس را طراحی کرده باشد."

http://www.itna.ir/vdcjyxet.uqetyzsffu.html

--- ویرایش شده ---

نیما مجیدی
حدود یک هفته پیش بود که مقاله‌ای تحت وقتی همه خوابیم(قسمت اول) منتشر شد، حالا پس از گذشت یک هفته شرکت سیمانتک گزارشی تهیه کرده است تحت عنوان بدافزار "رجین" که به صورت پیشرفته‌ای از سال ۲۰۰۸ فعال بوده و مراکز مختلفی از شرکت‌های خصوصی تا مراکز انرژی را هدف قرار داده است.
اما بیشترین میزان آلودگی که توسط شرکت سیمانتک مشاهده شده است در مورد شرکت‌های خصوصی به میزان ۴۸ درصد و شرکت‌های مخابراتی به میزان ۲۸ درصد بوده است. در این میان سهمی هم شامل بخش‌های تحقیقاتی، درمانی و خطوط هوایی بوده است.
ایران هم باز مثل همیشه سهمی از میزان آلودگی را داشته است.
نکته اصلی اینجاست که با قرار دادن قطعات این پازل در کنار هم می‌توان به این نتیجه رسید که در حال حاضر نیز فعالیت بدافزار‌های متنوعی در داخل ایران زیاد دور از ذهن نیست! و تا زمانی که شرکت‌هایی به واسطه روابط خود بحث امنیت اطلاعات را در داخل کشور انحصاری کرده‌اند و از تولید محصول بومی گرفته تا فروش محصولات خارجی هندی فعالیت می‌کنند هیچ پیشرفتی در مبارزه به حملات سایبری در کشور انجام نخواهد گرفت.

من گزارش منتشر شده را به دقت مطالعه کرده‌ام و نکات مورد توجه در مورد Regin را در ادامه بیان خواهم کرد. همچنین در انتها به آخرین اطلاعات که برای اولین باز از نقاط شیوع بدافزار Stuxnet توسط شرکت کسپرسکی به تازگی منتشر شده است بیان خواهد شد.

فعالیت در سکوت
این بدافزار حداقل از سال ۲۰۰۸ تا سال ۲۰۱۳ و شاید تا هم اکنون فعالیت داشته است. حدود دو نسخه اصلی اول و دوم و یک نسخه میانی تاکنون شناسایی شده‌اند.
متاسفانه به دلیل اینکه در برخی موارد بدافزار توسط تولید کنندگان آن پس از حمله و دزدی اطلاعات از سیستم‌ها پاک شده فعلا نمی‌توان اطلاعات بیشتری در این زمینه منتشر کرد.
شاید نسخه‌های بیشتری تولید و در ۶ سال گذشته مورد استفاده قرار گرفته باشند.

اهداف متنوع
تولید کنندگان این بدافزار به صورت خاص تنها بخش دولتی را مورد هدف قرار نداده‌اند، حتی شرکت‌های خصوصی هم مورد حمله قرار گرفته‌اند. آلودگی به این بدافزار در ۱۰ کشور در حال حاضر مشخص شده است که ایران نیز در کنار کشور‌هایی دیگر مانند عربستان، روسیه، بلژیک، هند،... قرار گرفته است.
سهم آلودگی ایران در حال حاضر به میزان ۵ درصد از کل میزان آلودگی شناسایی شده است.

نحوه آلودگی
مشخص نیست دقیقا به چه نحوی سیستم‌های قربانی به این بدافزار آلوده شده‌اند. در برخی موارد به کمک سوءاستفاده از کد آسیب پذیری ناشناخته در برنامه Yahoo!Messenger و در برخی دیگر از موارد با سوءاستفاده از برنامه‌های مرورگر وب بر روی سیستم‌های قربانیان نصب شده‌اند. به هر حال برنامه Yahoo! Messenger در ایران مورد علاقه افراد بسیاری است و آلودگی از این نقطه زیاد دور از ذهن نیست.

پیچیدگی در ساختار بدافزار
پس از انتشار بدافزارهایی مانند Stuxnet و Duqu و Flame که منابع ایران را به صورت مستقیم هدف قرار داده بودند و همگی از لحاظ پیچیدگی و نظم در ساختار تولید بدافزار‌هایی حرفه‌ای محسوب میشدند حالا رجین (Regin) به همان سبک و دقیقا به همان شکل از پیچیدگی ظاهر شده است.
این بدافزار پس از نصب از تمهیدات زیادی برای پنهان سازی خود استفاده کرده تا جایی که بخشی از اطلاعات خود را با استفاده از یک استاندارد مجازی سازی بر روی هارد دیسک ذخیره می‌کرده. یا حتی برای اتصال به سرویس‌های کنترل و فرماندهی (C&C servers) از پروتکل‌های UDP و حتی ICMP استفاده شده است.

سوالی که دوباره مطرح می‌شود: آیا زمان بیداری نیست!؟!
یکی از سوالاتی که پس از انتشار Stuxnet ذهن من را به خود مشغول کرده بود نقاط اولیه شیوع آلودگی بدافزار Stuxnet بود. متاسفانه به علت عدم دسترسی به منابع لازم که به راحتی در اختیار برخی سازمان‌های دیگر می‌باشد هیچوقت مشخص نشد. خبرهایی مبنی بر آلودگی توسط افراد نامشخص در همان ابتدا منتشر شد که متاسفانه در حد تیتر خبری برخی خبرگزاری‌ها باقی ماند و به تاریخ پیوست.
شرکت سیمانتک به دلیل در دسترس داشتن کنترل سرورهای اصلی C&C و بررسی ترافیک دریافتی از سیستم‌های آلوده در داخل ایران توانست در مقاله‌ای که در سال ۲۰۱۱ منتشر کرد ۵ نقطه اصلی را به عنوان نقاط اولیه شیوع آلودگی مطرح نماید. اما بدون عنوان نام آنها که بی‌شک به دلایل سردرگم کردن محققان داخلی کشور بوده است.

حالا شرکت کسپرسکی بعد از دو سال و بررسی بیش از ۲۰۰۰۰ نمونه بدافزار نام شرکت‌های اولیه که در داخل ایران آلوده شده‌اند را به صورت عمومی در مقاله‌ای منتشر کرده است.
۲۲ ژوئن ۲۰۰۹ - اول تیر ۱۳۸۸ : اولین آلوده سازی شرکت مهندسی بین المللی فولاد تکنیک(سهامی خاص)
۷ جولای ۲۰۰۹ – شانزدهم تیر ۱۳۸۸ : آلوده سازی گروه صنعتی ندا
جولای سال ۲۰۰۹ – تیر ۱۳۸۸ : آلوده سازی شرکت کنترل گستر جاهد – به علت گستردگی فعالیت این شرکت شیوع بدافزار توسط طراحان آن متوقف می‌شود تا سیستم‌هایی در خارج از ایران یا نقاط دیگر ایران آلوده نشوند و حمله همچنان در سکون پپش برود.
ماه مه-مارس ۲۰۱۰ – اسفند، اردیبهشت ۱۳۸۹ : آلوده سازی شرکت مهندسی بهپژوه(مجری پروژه‌های EPC) در ماه آوریل انتقال آلوده سازی به شرکت فولاد مبارکه به دلیل گستردگی فعالیت این شرکت
۱۱ مه ۲۰۱۰ – ۲۱ اردیبهشت ۱۳۸۹ : شروع آلودگی در سطح بالا در شرکت کالای الکترونیک

درسی که می‌توان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکت‌هایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بوده‌اند را شناسایی و قدم به قدم دست به آلوده سازی آنها زده‌اند و سپس پس از جمع‌آوری اطلاعات قدم بعدی را برداشته‌اند. حتی در مواردی که به این نتیجه رسیده‌اند که ممکن است شیوع بدافزار در یک شرکت به لو رفتن حمله منجر شود از شیوع بیشتر آن جلوگیری کرده‌اند.
پس باید در مواردی این چنینی اگر سازمانی به صورت گسترده در حال فعالیت با شرکت‌های دیگر است باید پروتکل‌های امنیتی پیشرفته‌ای را تهیه کند تا تبادل اطلاعات قابل ذخیره سازی باشد تا در آینده بتوان در کشف حملات از این اطلاعات استفاده کرد؛ و همانطور که مشاهده می‌شود همیشه محدود سازی تاثیر مثبتی نخواهد داشت.

نکته پایانی: هیچ لزومی ندارد وقتی دنیا اطلاعات از دست رفته است وقت خود را برای مخفی کاری و نفی کردن حقیقت صرف کنیم، بلکه برای پیشگیری از اتفاقات آتی از این تجارب استفاده کنیم.

منابع :
http://blog.kaspersky.com/stuxnet-victims-zero

http://www.theregister.co.uk/2014/11/24/regin

http://www.symantec.com/connect/blogs/r ... rveillance

http://www.symantec.com/content/en/us/e ... alysis.pdf

خواندنی درباره ویروس رایانه‌ای«رجین»

بدافزار Regin اهداف متنوع و به طور خاص شرکت‌های مخابراتی را در کشورهای مختلف هدف قرار داده است.

به گزارش مهر ،‌براساس اعلام مرکز ماهر بدافزاری که سایمانتک معتقد است احتمالاً توسط یک حکومت ایجاد شده است، ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد.

این شرکت امنیت کامپیوتر یک گزارش 22 صفحه‌ای و یک پست در وبلاگ در مورد بدافزار Regin منتشر کرد که تحت عنوان یک پلتفورم جاسوسی سایبری قوی شرح داده شده که می‌تواند بسته به نوع داده‌های مورد نظر، سفارشی سازی شود.

این بدافزار با ماژول‌های متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکت‌های مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است.

سایمانتک حدود 100 نهاد را در 10 کشور کشف کرده است که توسط Regin آلوده شده‌اند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.

به گفته یک محقق امنیتی سایمانتک به نام «لیام اومورچو»، نخستین نسخه Regin بین سال‌های 2008 تا 2011 فعال شد. سایمانتک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد.

اما شواهد و ادله جرم‌شناسانه‌ای وجود دارد مبنی بر اینکه Regin از سال 2006 فعال بوده است. در حقیقت سایمانتک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو، سایمانتک این نام را مورد استفاده قرار داده است چرا که این بدافزار توسط دیگرانی که در زمینه امنیت فعال هستند و پیش از این در مورد این بدافزار اطلاعاتی داشته‌اند، به این نام نامیده شده است.

اگر Regin واقعاً 8 سال داشته باشد، این بدان معناست که حکومت‌ها و دولت‌ها به موفقیت عظیمی در دور زدن محصولات امنیتی دست یافته‌اند، که نشانه چندان خوبی برای شرکت‌هایی که سعی می‌کنند از داده‌ها محافظت کنند نیست. سایمانتک در مورد تولید کننده Regin نظری نداده است.

سایمانتک حدود یک سال برای عمومی کردن Regin صبر کرده است، چرا که تحلیل آن بسیار سخت بوده است. این بدافزار 5 مرحله جداگانه دارد، که هریک از آنها وابسته به رمزگشایی مرحله قبلی است. این بدافزار همچنین از ارتباط نظیر به نظیر استفاده استفاده می‌کند و از استفاده از یک سیستم مرکزی دستور و کنترل برای جمع کردن داده‌های سرقتی خودداری می‌کند.

Regin یک تروجان back-door است که بسته به هدف، با گستره متنوعی از قابلیت‌ها سفارشی‌سازی می‌شود. به گفته سایمانتک، تولید این بدافزار ماه‌ها و حتی سال‌ها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کرده‌اند.

همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده می‌شوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است.

این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترل کنندگان Regin از یک آسیب‌پذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.

اومورچو معتقد است که این تهدید از نظر تمام کارهایی که بر روی کامپیوتر انجام می‌دهد بسیار پیشرفته است.

شرکت‌های مخابراتی به طور خاص توسط این بدافزار هدف قرار گرفته‌اند. یافته‌های سایمانتک نشان می‌دهد که برخی شرکت‌ها در چندین مکان و چندین کشور توسط Regin آلوده شده‌اند.

به نظر می‌رسد که مهاجمان به دنبال اطلاعات لاگین برای ایستگاه‌های پایه (BTS) شبکه GSM بوده‌اند. این ایستگاه‌ها نخستین نقطه تماس یک دستگاه موبایل برای مسیریابی یک تماس یا درخواست داده است. سرقت اطلاعات اعتباری administrator به صاحبان Regin اجازه داده است که تنظیمات ایستگاه پایه را تغییر داده یا به داده‌های تماس‌های خاص دست یابند.

اهداف دیگر Regin شامل صنایع خطوط هوایی، ISP ها و بیمارستان‌ها بعلاوه دولت‌ها بوده است.

سایمانتک معتقد است که بسیاری از اجزای Regin کشف نشده‌اند و هنوز ممکن است عملکردها و نسخه‌های دیگری از این بدافزار وجود داشته باشد. محققان به تحلیل‌های خود ادامه می‌دهند و درصورت رسیدن به نتایج جدید، آن را به اطلاع عموم خواهند رساند.

دو سال پیش ویروس استاکس به عنوان یکی از بزرگترین ویروس‌های فضای سایبر که با هدف حمله به تاسیسات صنعتی و نیروگاهی تولید شده بود شناسایی شد.

http://www.tabnak.ir/fa/news/453506/%D8 ... B%8C%D9%86