جزئیاتی جدید از بدافزار رگین +نمودار

شرکت امنیتی سیمانتک اعلام ‌کرد میزان توانایی‌های فنی تروجان جدید رگین، کمتر قابل مشاهده هستند. این تروجان که در عملیات جاسوسی علیه دولت‌ها، اپراتورهای زیرساخت، کسب و کارها، محققان و دانشمندان، و اشخاص مورد استفاده واقع می‌شود، یکی از خطرناکترین ابزارهای جاسوسی است که چندی پیش به کاربران معرفی گردید. 
بنا به گفته این شرکت، این تروجان بصورت درب پشتی (back door) عمل می‌کند و حداقل از سال 2008، به جاسوسی از اهداف خود پرداخته است. اهداف رگین کشورهایی چند قاره‌های مختلف جهان را شامل می‌شود.

این بدافزار یک تهدید چند مرحله‌ای است که در هر مرحله پنهان کاری و رمزگذاری منحصر به فردی دارد. رگین در مرحله اول، به اجرای زنجیره‌ای از رمزگشایی می‌پردازد و در هر مرحله پس از آن، این عمل را بارگذاری می‌کند. در مجموع پنج مرحله وجود دارد که در هر یک از این مراحل اطلاعات اندکی در مورد کل بسته بدافزار ارائه می‌گردد. فقط با دستیابی به تمام این پنج مرحله می‌توان به تجزیه و تحلیل و درک این تهدید خطرناک پرداخت. در نمودار یک نحوه چگونگی عملکرد این پنج مرحله به خوبی نمایش داده شده است:
 

نمودار یک- عملکرد پنج مرحله‌ای تروجان رگین

سیمانتک در ادامه توضیح می‌دهد که این تروجان در 12 دسامبر 2013 با عنوان Backdoor.Trojan.GR، در پایگاه داده تهدیدات این شرکت امنیتی ثبت شده است، اما محققان سیمانتک تا به امروز از اهمیت و میزان خطرناک بودن این تروجان آگاه نبودند. تجزیه و تحلیل رگین نشان دهنده این واقعیت است که طراحی و استفاده از این تروجان در سال‌های قبل انجام شده و در طول این 6 سال (2008 الی 2014) به جاسوسی از کشورهایی همچون روسیه، عربستان، مکزیک، ایرلند، هند، افغانستان، بلژیک، اتریش، پاکستان و جمهوری اسلامی ایران پرداخته است.
شایان ذکر است کشورهای روسیه و عربستان بیشترین آلودگی به این بدافزار را داشته اند. در نمودار دو، درصد آلودگی کشورها آمده است:
 

نمودار دو - درصد آلودگی کشورها به ویروس رگین

نسخه اول تروجان رگین در بین سال های 2008 و 2011 مشغول به فعالیت بود، اما به طور ناگهانی فعالیت مخرب آن متوقف شده بود. نسخه جدید این بدافزار از سال 2013، کار خود را آغاز نموده و به جاسوسی از اهداف مهمی همچون نهادهای دولتی، شرکت‌های خصوصی و موسسات تحقیقاتی پرداخته است. تقریباً نیمی از تمام آلودگی‌ها، مربوط به اشخاص و کسب و کارهای کوچک هستند. شرکت‌های مخابراتی نیز از اهداف اصلی این تروجان هستند تا دسترسی به تماس‌ها از طریق زیرساخت‌ها فراهم شود.
 

نمودار سه – درصد آلودگی صنایع و شرکت‌ها و اشخاص

همانطور که در نمودار سه مشخص است، اشخاص و کسب و کارهای کوچک با 48 درصد، شرکت‌های مخابراتی با 28 درصد، بیمارستان‌ها با 9 درصد، واحدهای تولید انرژی، شرکت‌های هواپیمایی و موسسات تحقیقاتی نیز هر کدام با 5 درصد بیشترین میزان آلودگی به تروجان رگین را دارند.
سیمانتک معتقد است میزان آلودگی در هر یک از اهداف و نحوه آلوده کردن کاربران توسط رگین متفاوت است. محققان این شرکت باور دارند که مشاهده نسخه‌های جعلی از وب سایت های شناخته شده، مرورگرهای وب و نصب این بدافزار در سیستم عامل کاربر از طریق برنامه‌هایی همچون پیام رسان یاهو (Yahoo Messenger)، راهی برای نفوذ به اطلاعات کاربران است. از دیگر ویژگی‌های رگین می‌توان به دسترسی‌های از راه دور (Remote Administration Tool)، به دست گرفتن کنترل موش‌واره، سرقت رمزهای عبور، نظارت بر ترافیک شبکه و بازیابی فایل‌های پاک شده اشاره کرد.
همچنین بسیاری از ماژول‌های خاص و پیشرفته‌ی این بدافزار، نظارت بر روی ترافیک وب سرور  IISمایکروسافت و کنترل کننده‌های ایستگاه اصلی تلفن همراه را دنبال می‌کند.
بسیاری از کارشناسان امنیتی شرکت‌های مختلف، نظریات گوناگونی را در مورد رگین بیان کرده اند:
کاستین رایو (Costin Raiu)، رئیس تیم پژوهشی و تجزیه و تحلیل جهانی کسپرسکی: "رگین یک پازل بسیار پیچیده است."
رونالد پرینس (Ronald Prins)، محقق امنیتی شرکت هلندی فاکس ایت (Fox IT): "تنها با یک نوع رگین مواجه نیستیم، بلکه چارچوب کاملی از گونه‌های مختلف این بدافزار مخرب ساخته شده است".
شون سالیوان (Sean Sullivan)، محقق امنیتی شرکت فنلاندی اف-سکیور (F-Secure): "هیچ کس تصویر کاملی از رگین در ذهن ندارد. شناسایی این بدافزار مانند کشف نوع جدیدی از دایناسور است".
همچنان بسیاری از محققان امنیتی در حال تجزیه و تحلیل و شناسایی اهداف بیشتر این بدافزار هستند. این کار ممکن است به هفته‌ها و بلکه ماه‌ها زمان نیاز داشته باشد.
رگین نیز مانند ویروس استاکس‌نت، که در سال 2010 برنامه هسته‌‌ای جمهوری اسلامی ایران را هدف قرار داده بود، توسط هکرهای دولتی و با منابع قابل توجهی که برای آن در نظر گرفته شده است، طراحی و کدنویسی شده است. در حال حاضر برخی از خبرگزاری‌های امنیتی و مقامات امنیتی کشورهایی همچون روسیه باور دارند که این تروجان جاسوسی توسط دولت‌های ایالات متحده و انگلیس به ویژه سازمان‌های جاسوسی این دو کشور، NSA و همتای انگلیسی آن GCHQ، ساخته شده است.