در مصاحبه ای که خبرگزاری دانشجو با آقای نفیسی معاون فنی شرکت امنپرداز داشتد، جزییات بدافزار رجین و احتمال خطر آن برای ایران مورد بررسی قرار گرفت. این مصاحبه را در آدرس زیر میتوانید ملاحظه نمایید:
http://snn.ir/detail/news/372047/8980
متن کامل مصاحبه در ادامه آمده است:
"خبرگزاری دانشجو": لطفا توضیح دهید که بدافزار رجین چگونه بدافزاری است و هدف از انتشار آن چیست؟
نفیسی: بدافزار رجین یک بدافزار قدیمی است که حداقل از ۶ تا ۸ سال پیش وجود داشته و مشغول به کار بوده است. همچنین حداقل از سال ۲۰۱۱ یعنی ۳ سال پیش، این بدافزار توسط ضد ویروسها تشخیص داده شده است و در واقع نام "رجین" یا Regin از همان موقع برای انجام اعمال جاسوسی انتخاب شده است.
هدف این بدافزار رایانهای، در یک کلمه جاسوسی اطلاعات بوده و انواع اطلاعات از جمله رمزهای عبور، فایلهای مهم و تصویر صفحه نمایش را به سرقت برده است. همچنین توانایی جاسوسی از شبکه مخابراتی GSM از دیگر ویژگیهای این بدافزار است.
نکته قابل توجه در مورد این بدافزار این است که خصوصیات اعلام شده در مورد این بدافزار هیچ کدام جدید یا خارقالعاده نیستند و در بسیاری از ویروسها پیدا میشوند.
"خبرگزاری دانشجو": پس به چه دلیل "رجین" اینقدر مهم شده و در رسانهها از آن یاد میشود؟
نفیسی: به نظر بنده این بدافزار آنچنان هم که در رسانهها بزرگ شده است، بدافزار مهم و قابل توجهی نیست و این یعنی بدافزار "رجین" خیلی خارقالعاده نبوده و بسیاری بدافزار مخربتر و خطرناکتر از آن نیز وجود داشتهاند که تاکنون رسانهای نشدهاند.
"خبرگزاری دانشجو": پس به چه دلیل است که شرکتهای امنیتی مختلف به این بدافزار پرداخته و از جاسوسی آن علیه دولتها صحبت میکنند؟
نفیسی: همانطور که گفتم رجین از ۳ سال پیش شناسایی شده اما به دلیل انتشار نسخه جدیدی از این بدافزار مجددا نام "رجین" بر سر زبانها افتاده و رسانهای شده است.
درابتدا این گزارش توسط سیمانتک و بعدا کسپراسکی به فاصله کمتر از یک روز منتشر شده است. من برخی قسمتهای این گزارش را برای شما عینا نقل میکنم: برای مثال سیمانتک در گزارش خود ذکر میکند که بازه فعالیت بدافزار از ۲۰۰۸ تا ۲۰۱۱ بوده و سپس نسخه جدید آن از ۲۰۱۳ فعال شده است. اما اگر به همین گزارش دقت کنید، سیمانتک نام نسخهای از بدافزار که در بازه ۲۰۰۸ تا ۲۰۱۱ فعال بوده را «ویرایش ۱.۰» گذاشته است و در همان ابتدای گزارش میگوید که تحلیل فقط روی ویرایش ۱.۰ و تنها کمی از ویرایش ۲.۰ انجام شده است.
"خبرگزاری دانشجو": یعنی منظور شما این است که سیمانتک گزارش تحلیلی از نسخه قدیمی منتشر کردهاست؟
نفیسی: بله و این نکته را من از خود گزارش میگویم و دقیقا چیزی است که خود سیمانتک نوشته است. اما گزارش کسپراسکی جالبتر است؛ چرا که در گزارش کسپراسکی ذکر شده که آخرین نسخه دیده شده از این بدافزار مربوط به بهار ۲۰۱۴ است، یعنی ۷ تا ۹ ماه پیش.
"خبرگزاری دانشجو": پس چرا این بدافزار اکنون در رسانهها مطرح میشود؟
نفیسی: دقیقا سوال همین جا است و باید بگویم که مطلب جدیدی نیست و شگرد این شرکتها همواره همین بوده است.
برای نمونه در قضیه بدافزار" فلیم" که مربوط به اردیبهشت ۹۱ بود (همان بدافزاری را میگویم که به شبکه شرکت ملی نفت ایران حمله کرده و اطلاعات کامپیوترها را پاک کرده بود) در آن زمان هم کاربران اگر اخبار را مرور کنند متوجه میشوند که کسپراسکی و سیمانتک، هر 2 در یک روز گزارشی از این بدافزار منتشر کردهاند و درست در یک روز ( تاکید میکنم کمتر از ۲۴ ساعت) بعد از اینکه مرکز ماهر ایران اعلام کرده بود که ویروس را پیدا کرده و گزارش خود را داده بود.
گفتگوی تفضیلی آقای نفیسی با "خبرگزاری دانشجو"جهت بررسی ابعاد بدافزار "رجین"
"خبرگزاری دانشجو": یعنی سیمانتک و کسپراسکی گزارش خود را بعد از مرکز ماهر منتشر کردند؟
نفیسی: بله و جالب این است که یک گزارش مفصل چند ۱۰ صفحهای منتشر کردند و حتی سیمانتک اسم آن را SkyWiper گذاشته و کسپراسکی اسم Flame را انتخاب کرد، در حالیکه مرکز ماهر اسم Flamer را انتخاب کرده بود و در گزارش خود اظهار بیاطلاعی میکردند که نمیدانند اطلاعات توسط مرکز ماهر منتشر شده است.
"خبرگزاری دانشجو": تحلیل شما از دلیل رفتار این شرکتها چیست؟
نفیسی: اولا اینکه گزارشهایی که اینگونه منتشر میشود همواره از یک بدافزار سوخته است. یعنی وقتی یک بدافزار کارکرد خود را از دست داده و دیگر فایدهای ندارد، زمان خوبی است که خبر آن منتشر شود. حداقل سود این شرکتها این است که بعدا همه میگویند سیمانتک بود که "رجین" را تشخیص داد. در نتیجه اسم سیمانتک مطرح میشود. در حالیکه واقعا خبر جدیدی نبوده است.
همچنین در ماجرای ویروس "نارلیام" (narilam) نیز مشابه همین اتفاق رخ داد. به طوری که این ویروس نیز توسط سیمانتک در سال ۲۰۱۲ مطرح شد، در حالی که این ویروس ۲ سال قبل یعنی ۲۰۱۰ توسط مرکز آپای دانشگاه شریف تحلیل شده بود و حتی کسپراسکی تصویر این تحلیل را هم در گزارشش آورده است.
"خبرگزاری دانشجو": ارتباط بدافزار رجین با بدافزارهایی مانند استاکسنت و دوکو چیست و چه تفاوت و یا شباهتهایی با این ۲ ویروس دارد؟
نفیسی: این نکته بسیار جالب است که معمولا هر بدافزاری پس از ورود با استاکسنت مقایسه میشود اما باید گفت "رجین" اصلا قابل قیاس با استاکسنت نیست و استاکسنت با حجم اختفایی که داشت، نه تنها در ویندوز، بلکه دستگاههای PLC را نیز مورد هدف قرار داده بود و هدف آن تخریب سانتریفیوژهای غنیسازی و بسیاری موارد دیگر بود و پیچیدگی آن بهقدری بود که هنوز حداقل ۱۰ سال از سایر بدافزارها جلوتر است.
اما رجین از لحاظ خانواده و اصل و نسب ارتباطی با استاکسنت ندارد. بلکه یک بدافزار مستقل است که اهدافش نیز جاسوسی بوده است. شباهت آن با استاکسنت هم از یک جهت است: اینکه رجین هم مانند استاکسنت یک بدافزار همگانی نبوده و برای اهداف خاص طراحی شده و هدف آن اختصاصا جاسوسی سیاسی و اقتصادی از کشورهای دیگر بوده است.
"خبرگزاری دانشجو": گفته شده است که هدف رجین سیستمهای مخابراتی در کشورهای مانند روسیه، عربستان وایران بوده است. میتوانید در این باره بیشتر توضیح دهید؟
نفیسی: از جمله قابلیتهای رجین که کم نظیر بوده است امکان جاسوسی از مراکز GSM مخابراتی یعنی همین شبکه تلفن همراه بوده است. یعنی رجین توانایی جاسوسی از عملیات داخلی این شبکهها و یا کنترل آنها را داشته است.
"خبرگزاری دانشجو": آیا ایران مورد هدف بدافزار رجین بوده است یا خیر؟ میتوانید بیشتر توضیح دهید؟
نفیسی: رجین فعالیت بسیار محدودی داشته و حتی میزان آلودگی آن به نسبت فلیم و سایر بدافزارهای خاص منظوره نیز کمتر بوده است. یعنی خیلی به دقت اهداف خود را انتخاب است. به همین علت مثلا کسپراسکی در گزارش خودش، با وجود داشتن بیش از چند ۱۰ میلیون کاربر، تنها ۲۷ آلودگی را گزارش کرده است.
ایران نیز قطعا مورد حمله بوده است، اما نه به طور خاص و گسترده. بلکه شاید در رده هفتم هشتم. از همین جهت است که پیدا کردن حتی یک آلودگی در ایران نیز بسیار نادر است. بهخصوص که در نظر بگیرید خود کسپراسکی نیز از ۷ ماه پیش این بدافزار را هیچ کجا پیدا نکرده است.
در مورد حمله GSM هم، با اطلاعات محدودی که من دارم سیستمهای مخابراتی ما ویندوزی نیستند که مورد حمله این بدافزار قرار گرفته باشند. البته در این مورد باید مسئولین مربوطه پاسخ بدهند.
"خبرگزاری دانشجو": با توجه به سابقه کشور ما در زمینه بدافزارها و جنگافزارهای سایبری مانند استاکسنت، چه توصیههایی برای محافظت در برابر این گونه حملات دارید؟
نفیسی: ایران سابقه بسیار زیادی در برخورد با اینگونه بدافزارها داشتهاست به طوری که دیگر به عینه میدانیم که اینگونه حملات گاهی مختص کشور ما و گاهی عمومیتر رخ میدهند و باید در مقابل آنها قوی باشیم. همواره هم از همین ضدویروسهای خارجی مطرح و رتبه یک بینالمللی استفاده کردهایم و باز هم در برابر این حملات بیدفاع بودهایم. بنابراین لازم است که از همین جا متوجه شویم که نگاه ما به این مساله غلط است.
"خبرگزاری دانشجو": یعنی چاره کار را در یک ضدویروس بومی میدانید؟
نفیسی: البته داشتن یک ضدویروس بومی یک قطعه بسیار مهم این پازل است که ما نباید گم کنیم. اما باید بدانیم که ضدویروس یک ابزار جادویی نیست که من روی رایانهام نصب کنم و دیگر مشکلی نداشته باشم بلکه یک کاربر خانگی شاید اینطور باشد اما وقتی مساله سازمانهای حیاتی و حساس کشور مطرح میشود، اینجا دیگر ضدویروس به تنهایی کارایی ندارد.
اینگونه حملات با هوش انسانی هدایت میشود و با قرار دادن چند ابزار و فایروال و ضدویروس نمیشود به جنگ با آنها پرداخت. اینها را باید حتما به صورت انسانی مرتبا نظارت کرد. وقتی مهاجم شما مرتب در فکر برنامهریزی برای حرکت بعدی خودش است، شما هم باید مرتب برنامهریزی کنید که جلوی آن را بگیرید.
"خبرگزاری دانشجو": پس ضدویروس به تنهایی کافی نیست؟
نفیسی: البته ضدویروس از جهات مختلفی مهم است، مثل اینکه توان این برنامهریزی و مقابله را به شما میدهد و شما امکان تمرین کردن با حریف تمرینی را پیدا میکنید. اما ضدویروس چیزی است که در دسترس همین مهاجمان وجود دارد. بنابراین این مهاجم قبل از منتشر کردن رجین یا امثال آن، خیلی راحت تست میکند که ضدویروس شما و هیچ ضدویروسی دیگری آن را نگیرد و بعد منتشرش میشود.
بنابراین برای کاربر خانگی یا سازمان عادی شاید ضدویروس یک راهحل جامع باشد، اما در کشور و در سازمانهای حساس نیاز به یک پایش مداوم و تاکید میکنم با نظارت انسانی و با ابزار بومی است. یعنی یک سامانه نظارت هوشمند و انسانی.
"خبرگزاری دانشجو": کاربران در مورد این بدافزار چه کارهایی باید انجام دهند. مثلا چگونه بفهمند رایانه آنها آلوده هست یا خیر؟ و آیا راهی برای پیشگیری از آلودگی به این بدافزار وجود دارد؟
نفیسی: بله و جالب این است که یک گزارش مفصل چند ۱۰ صفحهای منتشر کردند و حتی سیمانتک اسم آن را SkyWiper گذاشته و کسپراسکی اسم Flame را انتخاب کرد، در حالیکه مرکز ماهر اسم Flamer را انتخاب کرده بود و در گزارش خود اظهار بیاطلاعی میکردند که نمیدانند اطلاعات توسط مرکز ماهر منتشر شده است.
"خبرگزاری دانشجو": تحلیل شما از دلیل رفتار این شرکتها چیست؟
نفیسی: اولا اینکه گزارشهایی که اینگونه منتشر میشود همواره از یک بدافزار سوخته است. یعنی وقتی یک بدافزار کارکرد خود را از دست داده و دیگر فایدهای ندارد، زمان خوبی است که خبر آن منتشر شود. حداقل سود این شرکتها این است که بعدا همه میگویند سیمانتک بود که "رجین" را تشخیص داد. در نتیجه اسم سیمانتک مطرح میشود. در حالیکه واقعا خبر جدیدی نبوده است.
همچنین در ماجرای ویروس "نارلیام" (narilam) نیز مشابه همین اتفاق رخ داد. به طوری که این ویروس نیز توسط سیمانتک در سال ۲۰۱۲ مطرح شد، در حالی که این ویروس ۲ سال قبل یعنی ۲۰۱۰ توسط مرکز آپای دانشگاه شریف تحلیل شده بود و حتی کسپراسکی تصویر این تحلیل را هم در گزارشش آورده است.
"خبرگزاری دانشجو": ارتباط بدافزار رجین با بدافزارهایی مانند استاکسنت و دوکو چیست و چه تفاوت و یا شباهتهایی با این ۲ ویروس دارد؟
نفیسی: این نکته بسیار جالب است که معمولا هر بدافزاری پس از ورود با استاکسنت مقایسه میشود اما باید گفت "رجین" اصلا قابل قیاس با استاکسنت نیست و استاکسنت با حجم اختفایی که داشت، نه تنها در ویندوز، بلکه دستگاههای PLC را نیز مورد هدف قرار داده بود و هدف آن تخریب سانتریفیوژهای غنیسازی و بسیاری موارد دیگر بود و پیچیدگی آن بهقدری بود که هنوز حداقل ۱۰ سال از سایر بدافزارها جلوتر است.
اما رجین از لحاظ خانواده و اصل و نسب ارتباطی با استاکسنت ندارد. بلکه یک بدافزار مستقل است که اهدافش نیز جاسوسی بوده است. شباهت آن با استاکسنت هم از یک جهت است: اینکه رجین هم مانند استاکسنت یک بدافزار همگانی نبوده و برای اهداف خاص طراحی شده و هدف آن اختصاصا جاسوسی سیاسی و اقتصادی از کشورهای دیگر بوده است.
"خبرگزاری دانشجو": گفته شده است که هدف رجین سیستمهای مخابراتی در کشورهای مانند روسیه، عربستان وایران بوده است. میتوانید در این باره بیشتر توضیح دهید؟
نفیسی: از جمله قابلیتهای رجین که کم نظیر بوده است امکان جاسوسی از مراکز GSM مخابراتی یعنی همین شبکه تلفن همراه بوده است. یعنی رجین توانایی جاسوسی از عملیات داخلی این شبکهها و یا کنترل آنها را داشته است.
"خبرگزاری دانشجو": آیا ایران مورد هدف بدافزار رجین بوده است یا خیر؟ میتوانید بیشتر توضیح دهید؟
نفیسی: رجین فعالیت بسیار محدودی داشته و حتی میزان آلودگی آن به نسبت فلیم و سایر بدافزارهای خاص منظوره نیز کمتر بوده است. یعنی خیلی به دقت اهداف خود را انتخاب است. به همین علت مثلا کسپراسکی در گزارش خودش، با وجود داشتن بیش از چند ۱۰ میلیون کاربر، تنها ۲۷ آلودگی را گزارش کرده است.
ایران نیز قطعا مورد حمله بوده است، اما نه به طور خاص و گسترده. بلکه شاید در رده هفتم هشتم. از همین جهت است که پیدا کردن حتی یک آلودگی در ایران نیز بسیار نادر است. بهخصوص که در نظر بگیرید خود کسپراسکی نیز از ۷ ماه پیش این بدافزار را هیچ کجا پیدا نکرده است.
در مورد حمله GSM هم، با اطلاعات محدودی که من دارم سیستمهای مخابراتی ما ویندوزی نیستند که مورد حمله این بدافزار قرار گرفته باشند. البته در این مورد باید مسئولین مربوطه پاسخ بدهند.
"خبرگزاری دانشجو": با توجه به سابقه کشور ما در زمینه بدافزارها و جنگافزارهای سایبری مانند استاکسنت، چه توصیههایی برای محافظت در برابر این گونه حملات دارید؟
نفیسی: ایران سابقه بسیار زیادی در برخورد با اینگونه بدافزارها داشتهاست به طوری که دیگر به عینه میدانیم که اینگونه حملات گاهی مختص کشور ما و گاهی عمومیتر رخ میدهند و باید در مقابل آنها قوی باشیم. همواره هم از همین ضدویروسهای خارجی مطرح و رتبه یک بینالمللی استفاده کردهایم و باز هم در برابر این حملات بیدفاع بودهایم. بنابراین لازم است که از همین جا متوجه شویم که نگاه ما به این مساله غلط است.
"خبرگزاری دانشجو": یعنی چاره کار را در یک ضدویروس بومی میدانید؟
نفیسی: البته داشتن یک ضدویروس بومی یک قطعه بسیار مهم این پازل است که ما نباید گم کنیم. اما باید بدانیم که ضدویروس یک ابزار جادویی نیست که من روی رایانهام نصب کنم و دیگر مشکلی نداشته باشم بلکه یک کاربر خانگی شاید اینطور باشد اما وقتی مساله سازمانهای حیاتی و حساس کشور مطرح میشود، اینجا دیگر ضدویروس به تنهایی کارایی ندارد.
اینگونه حملات با هوش انسانی هدایت میشود و با قرار دادن چند ابزار و فایروال و ضدویروس نمیشود به جنگ با آنها پرداخت. اینها را باید حتما به صورت انسانی مرتبا نظارت کرد. وقتی مهاجم شما مرتب در فکر برنامهریزی برای حرکت بعدی خودش است، شما هم باید مرتب برنامهریزی کنید که جلوی آن را بگیرید.
"خبرگزاری دانشجو": پس ضدویروس به تنهایی کافی نیست؟
نفیسی: البته ضدویروس از جهات مختلفی مهم است، مثل اینکه توان این برنامهریزی و مقابله را به شما میدهد و شما امکان تمرین کردن با حریف تمرینی را پیدا میکنید. اما ضدویروس چیزی است که در دسترس همین مهاجمان وجود دارد. بنابراین این مهاجم قبل از منتشر کردن رجین یا امثال آن، خیلی راحت تست میکند که ضدویروس شما و هیچ ضدویروسی دیگری آن را نگیرد و بعد منتشرش میشود.
بنابراین برای کاربر خانگی یا سازمان عادی شاید ضدویروس یک راهحل جامع باشد، اما در کشور و در سازمانهای حساس نیاز به یک پایش مداوم و تاکید میکنم با نظارت انسانی و با ابزار بومی است. یعنی یک سامانه نظارت هوشمند و انسانی.
"خبرگزاری دانشجو": کاربران در مورد این بدافزار چه کارهایی باید انجام دهند. مثلا چگونه بفهمند رایانه آنها آلوده هست یا خیر؟ و آیا راهی برای پیشگیری از آلودگی به این بدافزار وجود دارد؟
نفیسی: برای کاربرانی که دغدغه دارند که آیا به این ویروس آلوده هستند یا خیر، ما در تیم ضدویروس پادویش ابزاری را تحت عنوان "تشخیصگر پادویش مربوط به رجین" منتشر کردهایم که با یک بررسی چندجانبه از نشانههای ویروس، وجود آن را تشخیص میدهد. با این توضیح که این ابزار در واقع برای زمانی است که شما میخواهید بدانید سیستمتان آلوده شده است یا خیر و نقش جلوگیری ندارد.
برای پیشگیری از ابتلا به این بدافزار یا هر نوع ویروسی، مثل همیشه باید کاربران را دعوت کنیم که از یک محصول ضدویروس خوب استفاده کنند و آن را همواره بهروز نگه دارند. از رفتارهای خطرناک، مثل باز کردن ایمیلهای ناشناس یا مراجعه به سایتهای نامعلوم پرهیز کنند و همواره نرمافزارهای سیستم خود اعم از ویندوز، آفیس و فلش را بهروز نگه دارند.
ضمن اینکه با توجه به گستردگی بسیار پایین بدافزار رجین، کاربران عادی میتواند خیالشان راحت باشد که مشکلی از این جهت ندارند. اما خطر ویروسهایی مانند "گامارو" و "کریپتولاکر" و مانند آن که بسیار شایع هستند، برای کاربران عادی بسیار بالاتر است؛ چرا که این بدافزارها و ویروسها اطلاعات بانکی شما را میدزدند یا فایلهای شما را رمز میکنند و میتوانند یک تهدید واقعی باشند. از همین جهت است که داشتن یک ضدویروس خوب و نرمافزارهای بروز یک پیشنهاد همیشگی است.
برای پیشگیری از ابتلا به این بدافزار یا هر نوع ویروسی، مثل همیشه باید کاربران را دعوت کنیم که از یک محصول ضدویروس خوب استفاده کنند و آن را همواره بهروز نگه دارند. از رفتارهای خطرناک، مثل باز کردن ایمیلهای ناشناس یا مراجعه به سایتهای نامعلوم پرهیز کنند و همواره نرمافزارهای سیستم خود اعم از ویندوز، آفیس و فلش را بهروز نگه دارند.
ضمن اینکه با توجه به گستردگی بسیار پایین بدافزار رجین، کاربران عادی میتواند خیالشان راحت باشد که مشکلی از این جهت ندارند. اما خطر ویروسهایی مانند "گامارو" و "کریپتولاکر" و مانند آن که بسیار شایع هستند، برای کاربران عادی بسیار بالاتر است؛ چرا که این بدافزارها و ویروسها اطلاعات بانکی شما را میدزدند یا فایلهای شما را رمز میکنند و میتوانند یک تهدید واقعی باشند. از همین جهت است که داشتن یک ضدویروس خوب و نرمافزارهای بروز یک پیشنهاد همیشگی است.