جاسوسی به نام رگین

به گزارش پایداری ملی به نقل از پایگاه اطلاع رسانی پدافند سایبری (پاپسا) رگیـن دارای یک طراحـی چند مرحله‌ای بـوده، با هـدف فعـال کـردن مـاژولارسـازی بـه سـاده‌ترین روش ممکـن توسـعه یافـت. ایــن ابــزار از ۶ فــاز بــا عملکــرد مختلــف بهــره میبــرد کــه در مراحــل اول بســیار بی ســروصدا عمــل می‌کنــد؛ امــا در زمـان انجـام دادن یـک حملـه خـاص، بـه واحدهــای مختلفــی مجهــز می‌شــود. ایــن واحدهــا امــکان به روزرســانی عملکردهــا یــا گســترش افزونه هــا را در صــورت نیــاز فراهــم می‌کننــد. رگیـن بـر پایـه معمـاری سـرویس گـرا توسـعه پیداکـرده اسـت. بـه ایـن معنـی کـه ماژولها بـا توجه بـه هدف عملیـات مورد اسـتفاده قرار می‌گیرنـد. 

ایـن ماژول هـا معمـولا فعـال نمی شوند؛ بلکـه بـه محتوا و دسـتوری خـاص بـرای فعـال شـدن نیـاز دارنـد. در مواجهـه بـا اینگونـه بدافزارها، تحلیلگـران معمـولا، به منظـور رمزگشـایی داده‌هـای ذخیره شـده بـا بدافـزار بـه روش‌هـای تحلیل ایسـتا و توسـعه کیـت ابـزار روی می‌آورنـد. 

اولیـن چالـش در مهندسـی معکـوس رگیـن، معمـاری سـرویس گـرای آن اسـت. در ایـن معمـاری، ماژولهـا بـرای برقـراری ارتبـاط بـا یکدیگـر از روش‌هـای تمـاس از راه دور بهره می‌گیرند. ماژول‌هـا می‌تواننـد به صـورت محلـی و در داخـل یـک سیسـتم یـا از راه دور و در سرتاسـر جهـان بـا یکدیگـر ارتباط برقـرار کننـد. 

اینگونـه معمـاری امـکان فعالیـت به صـورت توزیع شـده و مدیریـت سـاده تر یـک شـبکه بسـیار بـزرگ به منظور جمـع آوری اطلاعات را فراهـم مـی‌آورد. اسـناد منتشرشـده از آژانـس امنیـت ملی آمریکا توسـط ادوارد اسـنودن در سـال ۲۰۱۳ ،تأییـد می‌کننـد کـه سـتاد ارتباطات دولـت انگلیس در پشـت پـرده حمله مذکور بـوده، ایـن اقـدام بـا اسـم رمـز"عملیـات سوسیالیسـت" شـناخته می‌شـود.

خبرگـزاری اینترسـپت پـس از مدتـی اعلام کـرد: بدافزارهایـی در سـامانه های کشـور بلژیـک شناسـایی شـده‌اند کـه از پیشـرفته‌ترین جاسـوس ابزارهای شناخته شـده تا آن زمان به حسـاب می‌آینـد. 

ایـن نوع بدافـزار رگین نام داشـت. رســانه های سرتاســر دنیــا در ایــن شــرایط شــروع بــه تحلیــل جنبه هــای مختلـف عملیـات پیچیـده یاد شـده کردنـد. بعلاوه، چندیــن شــرکت امنیــت ســایبری ماننــد کسپرســکی و ســیمنتک، گزارش‌هایـی را در رابطـه بـا نـوع معمـاری و نحــوه عملکــرد رگیــن تهیــه کردنــد. 

باوجــود ایــن، همچنــان نقــاط تاریکــی در مکانیســم رگیــن دیــده می‌شــود. به عنوان مثــال در نســخه ۶۴ بیتــی ایــن بدافــزار، تنهــا حجــم کمــی از فایل‌هــا بازیابــی و شناســایی شــده‌اند. رگیـن یـک ابـزار جمـع آوری اطلاعات چندبعـدی اسـت کـه سـالها پیـش شـروع بـه فعالیـت کـرد. 

شـرکت امنیـت سـایبری ســیمنتک اولیــن بــار در پاییــز ســال ۲۰۱۳ بــه بررســی ایــن بدافــزار پرداخــت. نســخه‌های متفاوتــی از ایــن بدافــزار در شــرکتها، مؤسســات، محیط‌هــای دانشــگاهی و اشــخاص حقیقــی متعــددی دیــده شــد. از قابلیت‌هــای متعــدد ایــن بدافــزار میتــوان بــه ســرقت اطلاعات و نظــارت بــر اهــداف نــام بــرد. همچنیــن، بارگــذاری ویژگی‌هــای سفارشی سازی شــده بــرای اهــداف خــاص از دیگــر قابلیت‌هــای ایــن بدافــزار محســوب می‌شــود کــه می‌تــوان بــه عنــوان نمونــه، نرم افــزار زیرســاخت‌های مخابراتــی را نــام بــرد. 

رگیـن توانایـی نصـب حجـم زیـادی از اطلاعات اضافـی را به صـورت سفارش سازی شـده بر رایانه‌هـای هدف دارد. این بدافـزار از ویژگی دسترسـی به اطلاعات از طریـق تروجان‌هـای کنتـرل از راه دور برخـوردار اسـت. ایـن ویژگی شـامل گرفتن اسـکرین شـات، تحـت هدایـت قـراردادن نشـانگر موس و قابلیت کلیک کردن، سرقت رمـز عبـور، نظارت بر ترافیک شـبکه، جمـع آوری اطلاعات در مورد نحـوه فرآیندهـای در حال اجـرا و حافظه به کارگیری شـده می‌گردد. از دیگـر ویژگی‌هـای رگیـن، جسـتجوی فایل‌هـای حذف شـده و بازگرداندن آنها اسـت. 

 ماژول‌های پیشـرفته تر این بدافزار که توسط سـیمنتک بررسـی شـده اند از ویژگی‌هایی چـون نظارت بـر ترافیک شـبکه سـرور سـرویس‌های اطلاعات اینترنتـی، جمـع آوری میـزان مکالمـات مدیریتـی بـرای کنترل کننده هـای پایـگاه اسـتقرار فرسـتنده و گیرنـده و اسـتخراج محتـوای ایمیل‌هـا از پایـگاه داده برخـوردار بودنـد. درضمـن، رگیـن در برخی مـوارد بـه مخفـی سـاختن اطلاعات سـرقت شـده نیـز میپـردازد. نمودار اهداف رگین آلودگـی‌هایـی کـه توسـط رگیـن ایجادشـده، طیـف وسـیعی از ســازمانها از قبیــل شــرکت‌های خصوصــی، ادارات دولتــی و موسســه‌های تحقیقاتــی را در برمی‌گیــرد. ازلحــاظ جغرافیایــی نیـز حملات ایـن بدافـزار، ۱۰ کشـور در نقـاط مختلـف جهـان را هـدف قـرار داده اسـت. 

میــزان آلودگــی رگیــن مشــخص نیســت. فایل‌هــای لاگ در یـک رایانـه نشـان می‌دهـد کـه رگیـن از طریـق پیام‌رسـان یاهـو کــه اکســپلویت آن تأییــد نشــده وارد آن شــده اســت. ماهیــت پیچیــده ســاختار ایــن بدافــزار نشــانگر میــزان پنهــان بــودن آلودگـی آن اسـت. ازایـنرو، وسـعت آلودگـی بـر اسـاس هـر هـدف متغیــر بــوده و ممکــن اســت مهاجــم بــه اکســپلویت هــای روز صفــرم دسترســی داشــه باشــد.

 رگیـن دارای معمـاری شـش مرحلـه ای اسـت. در مراحـل ابتدایـی، ایـن بدافـزار بـه نصـب و پیکربنـدی خدمـات داخلـی آن پرداختـه و در مراحــل بعــدی، بســته های اصلــی اطلاعاتی آن وارد فــاز عملیاتــی می شــود. 

واحدهــای رگیــن عملکــرد خــود را از طریــق روش دســتیابی بــه داخـل مکانیسـم تمـاس از راه دور پوشـش می‌دهـد. ایـن روش از طریــق تماس‌هــای از راه دور شناسایی شــده توســط المان‌هــای چندتایــی بیــان می‌شــود. رگیـن از یـک شـبکه خصوصی مجـازی که آدرس نود آن مشـابه IPv4 اسـت اسـتفاده کرده اسـت اما آدرسها نسـبت به آدرس IPv4 واقعـی رایانـه متمایز اسـت. ایـن مکانیسـم تمـاس از راه دور، رونـد تماسهـا را در محـل و سراسـر شـبکه آلوده رایانـه برنامه‌ریـزی می‌کند. 

اپراتورهـا میتوانند به هر روش در شـبکه رگین برای هدایت از راه دور، نصب مسـتقیما یـا بـه روزرسـانی واحدهـا بـا آنهـا تمـاس برقرار کـرده یا به وسـیله فایـل سیسـتم‌های مجـازی رمزنگاری شـده، پیکربنـدی واحـد را تغییـر دهند. چارچوب واحدهای نرم افزار رگیــن می‌توانــد بــا ماژول‌هــای متعــدد فایــل بارگــذاری یــا دریافــت ماژول‌هــای فایــل بارگــذاری پــس از آلــوده شــدن به‌روزرســانی شــود. 

ماهیــت توســعه‌پذیر رگیــن و فایل‌هــای بارگـذاری سفارشی سـازی شـده اش، نشـانگر آن اسـت کـه ممکـن اسـت فایل‌هـای بارگـذاری اضافـی بسـیاری بـرای تنظیـم عملکـرد رگیــن وجــود داشــته باشــد. به علاوه، داده هــای ضمیمه شــده‌ای در ماژول‌هــای فایــل بارگــذاری شــده یافتــه شــده کــه هنــوز بازیابــی نشــده‌اند. 

فرماندهی و کنترل مجموعــه عملیــات فرماندهــی و کنتــرل رگیــن گــران اســت. ارتباطــات فرماندهــی و کنتــرل را می تــوان از طریــق شــبکه رایانه هــای دارای رگیــن تقویــت کــرد. پروتکل هــای شــبکه قابــل گسـترش هسـتند. طـرح فیزیکـی محتـوای سیسـتم فایـل مجازی رمزگــذاری شــده تنظیــم می شــوند. مکانیسـم فرماندهـی و کنتـرل اجراشـده در بدافـزار فوق، بسـیار پیچیـده اسـت. اکثـر قربانیـان بـا یـک ماشـین دیگر در شـبکه داخلـی خود، از طریـق پروتکل‌هـای مختلـف، همانطـور کـه در فایـل پیکربندی مشخص شـده اسـت، ارتبـاط برقـرار می‌کننـد کـه شـامل معبرهای شـبکه ویندوز و HTTP اسـت. 

هدف از چنین زیرسـاخت پیچیده ای، دسـتیابی بـه دو هدف اسـت: دسترسـی مهاجمـان به عمق شـبکه، بـرای نابـودی شـکاف‌های موجـود و محدود کـردن ترافیـک ممکن بـرای فرماندهـی و کنترل. 

بــرای بیــش از یــک دهــه، یــک گــروه پیچیــده بــه نــام رگیــن نهادهـای مهمـی در جهـان را بـا پلتفرم‌هـای بدافـزاری پیشـرفته مورد حملــه قراردادنــد. باوجــود ارتقــای نرم‌افزارهــای مخــرب بــه نســخه‌های پیشــرفته‌تر هنــوز هــم عملیات‌هــا فعــال هســتند.

معکـوس Reg In مخفـف Registry In اسـت؛ نـام Regin ظاهـرا به بدافـزاری اشاره دارد کـه می توانـد ماژولهایـش را در رجیسـتری ذخیـره کند. 

نـام ایـن بدافـزار و شناسـایی اولین نمونـه آن مربوط بـه محصولات ضـد تروجـان در ابتـدای مـاه مـارس ۲۰۱۱ مربوط می‌شـود.

ازنظـر برخـی کارشناسـان، ایـن پلتفـرم یـادآور دیگـر بدافزارهـای پیچیـده مانند Turla اسـت. برخی شـباهت ها شـامل اسـتفاده از سیسـتم های فایل مجازی و گسـترش اسـتفاده از هواپیماهای بدون سرنشـین ارتباطی برای اتصال شـبکه ها هسـتند. باوجـود این از طریق اجـرا، روش‌های کدگـذاری، پالگیـن‌هـا، تکنیک‌هـای پنهـان و انعطاف‌پذیـری، Regin نسـبت بـه تـورال به عنـوان یکـی از پیچیده تریـن پلتفرم‌هـا شناخته شـده اسـت. 

توانایـی بدافـزار فـوق بـرای نفـوذ و نظـارت روی شـبکه های GSM شـاید جنبـه غیرمعمـول و جالـب ایـن عملیـات باشـد. در دنیـای امـروز بـا وابسـتگی مـردم بـه شـبکه های تلفن‌هـای همـراه، امنیـت کاربـر نهایی کم شـده اسـت. اگرچـه تمام شـبکه های GSM دارای مکانیسـمی بـرای ردیابی 

مظنونان هسـتند، امـا مهاجمان نیز میتواننـد با دسـتیابی بـه این توانایی انـواع حمالت دیگـری را روی کاربـران موبایـل راه انـدازی کنند.