به گفته سایمانتک، بدافزار Regin اهداف متنوع و به طور خاص شرکتهای مخابراتی را در کشورهای مختلف هدف قرار داده است.
بدافزاری که سایمانتک معتقد است احتمالاً توسط یک حکومت ایجاد شده است، ممکن است برای مدت ۸ سال مورد استفاده قرار گرفته باشد.
این شرکت امنیت کامپیوتر یک گزارش ۲۲ صفحهای و یک پست در وبلاگ
در مورد بدافزار Regin منتشر کرد که تحت عنوان یک پلتفورم جاسوسی سایبری
قوی شرح داده شده است که میتواند بسته به نوع دادههای مورد نظر، سفارشی
سازی شود.
از مرکز ماهر، این بدافزار با ماژولهای
متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکتهای
مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است. سایمانتک
حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط Regin آلوده شدهاند که
اغلب آنها در روسیه و عربستان سعودی قرار دارند.
اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.
به
گفته یک محقق امنیتی سایمانتک به نام «لیام اومورچو»، نخستین نسخه Regin
بین سالهای ۲۰۰۸ تا ۲۰۱۱ فعال شد. سایمانتک تحلیل نسخه دیگری از Regin را
که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز
کرد.
اما شواهد و ادله جرمشناسانهای وجود دارد مبنی بر اینکه
Regin از سال ۲۰۰۶ فعال بوده است. در حقیقت سایمانتک نام Regin را برای این
بدافزار انتخاب نکرده است. به گفته اومورچو، سایمانتک این نام را مورد
استفاده قرار داده است چرا که این بدافزار توسط دیگرانی که در زمینه امنیت
فعال هستند و پیش از این در مورد این بدافزار اطلاعاتی داشتهاند، به این
نام نامیده شده است.
اگر Regin واقعاً ۸ سال داشته باشد، این بدان
معناست که حکومتها و دولتها به موفقیت عظیمی در دور زدن محصولات امنیتی
دست یافتهاند، که نشانه چندان خوبی برای شرکتهایی که سعی میکنند از
دادهها محافظت کنند نیست. سایمانتک در مورد تولید کننده Regin نظری نداده
است.
سایمانتک حدود یک سال برای عمومی کردن Regin صبر کرده است، چرا
که تحلیل آن بسیار سخت بوده است. این بدافزار ۵ مرحله جداگانه دارد، که
هریک از آنها وابسته به رمزگشایی مرحله قبلی است.
این بدافزار
همچنین از ارتباط نظیر به نظیر استفاده استفاده میکند و از استفاده از یک
سیستم مرکزی دستور و کنترل برای جمع کردن دادههای سرقتی خودداری میکند.
Regin
یک تروجان back-door است که بسته به هدف، با گستره متنوعی از قابلیتها
سفارشیسازی میشود. به گفته سایمانتک، تولید این بدافزار ماهها و حتی
سالها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای
این بدافزار کردهاند.
همچنین هنوز دقیقاً مشخص نیست که کاربران
چگونه توسط Regin آلوده میشوند. به گفته اومورچو، سایمانتک فقط در مورد یک
کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است.
این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد.
اما
احتمال بیشتری وجود دارد که کنترل کنندگان Regin از یک آسیبپذیری در
مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده
باشند. اومورچو معتقد است که این تهدید از نظر تمام کارهایی که بر روی کامپیوتر انجام میدهد بسیار پیشرفته است.
شرکتهای
مخابراتی به طور خاص توسط این بدافزار هدف قرار گرفتهاند. یافتههای
سایمانتک نشان میدهد که برخی شرکتها در چندین مکان و چندین کشور توسط
Regin آلوده شدهاند.
به نظر میرسد که مهاجمان به دنبال اطلاعات
لاگین برای ایستگاههای پایه (BTS) شبکه GSM بودهاند. این ایستگاهها
نخستین نقطه تماس یک دستگاه موبایل برای مسیریابی یک تماس یا درخواست داده
است.
سرقت اطلاعات اعتباری administrator به صاحبان Regin اجازه
داده است که تنظیمات ایستگاه پایه را تغییر داده یا به دادههای تماسهای
خاص دست یابند.
اهداف دیگر Regin شامل صنایع خطوط هوایی، ISP ها و بیمارستانها بعلاوه دولتها بوده است. سایمانتک
معتقد است که بسیاری از اجزای Regin کشف نشدهاند و هنوز ممکن است
عملکردها و نسخههای دیگری از این بدافزار وجود داشته باشد. محققان به
تحلیلهای خود ادامه میدهند و درصورت رسیدن به نتایج جدید، آن را به اطلاع
عموم خواهند رساند.