ايتنا - بدافزار جاسوسی Regin پس از ۸ سال شناسایی شد

محققین امنیتی اخیراً مؤفق به شناسایی یک بدافزار جاسوسی شدند که اقدام به جاسوسی از ارگانها و مؤسسات دولتی و تحقیقاتی ۱۴ کشور مختلف می‌نموده است.
این بدافزار که یادآور بدافزار "دوکو" می‌باشد، حداقل از سال ۲۰۰۸ بمنظور جاسوسی از سازمان‌ها و ارگان‌های مختلف چندین کشور مورد استفاده قرار میگرفته است. این بدافزار نه تنها بمنظور جاسوسی از طریق استخراج ایمیل‌ها و اسناد گوناگون سازمانهای دولتی، مؤسسات تحقیقاتی و بانکها استفاده می‌شده است بلکه یکی از مهمترین اهداف آن شبکه‌ها و اپراتورهای مخابراتی GSM بوده است تا از این طریق با نفوذ بیشتری اقدام به حملات نماید.

گزارشی که شرکت کسپرسکی منتشر نمود، این جنبه تهدیداتی بدافزار Regin که روی ۲۷ رایانه تحت ویندوز در سازمان‌های ۱۴ کشور قربانی، که اغلب آنها کشورهای منطقه یعنی از خاورمیانه و آسیایی می‌باشند، شناسایی شده است، را تشریح می‌نماید. علاوه بر اهداف و قربانیان سیاسی این حمله، بنا بر یافته‌های آزمایشگاه تحقیقاتی کسپرسکی یک مؤسسه تحقیقاتی که نامی از آن منتشر نشده است و پیشتر مورد حمله بدافزارهایی نظیر Mask/Careto، Turla، Itaduke، و Animal Farm قرار گرفته بود، و یکی از رمزنگاران سرشناس بلژیکی به نام ژان ژاک کیسکواتر (Jean-Jacques Quisquater) از جمله قربانیان خاص این بدافزار بوده‌اند.
ناقلین اولیه این آلودگی‌ بدافزاری همچنان ناشناس می‌باشند اما محققین شرکت کسپرسکی بر این باورند که در چند نمونه بررسی شده، مجرمین از طریق اکسپلویت یا کد مخرب zero-day صورت گرفته تا به روش MitM (Man-in-the-middle یا مرد میانی) به این حملات بپردازند و به سیستم قربانیان نفوذ نمایند.

محققین شرکت کسپرسکی اظهار داشتند: «در سیستم برخی از قربانیان ابزارها و ماژول‌هایی برای اهدافی جانبی مشاهده نمودیم. تاکنون کد مخربی شناسایی یا مشاهده نشده است. همچنین ماژول‌های همتاسازی (replication modules)، از طریق ابزارهای اشتراک‌گذاری ویندوز بوسیله رایانه سرپرست یا ادمین سیستم به رایانه‌های ریموت منتقل و روی آنها اجرا شده‌اند. طبیعتاً این روش به نیاز به دسترسی‌ها و اجرا از جانب سرپرست یا ادمین شبکه مورد حمله دارد و در برخی موارد مشاهده گردید که ماشین‌های آلوده سرورهای domain controller بودند. مورد هدف قرار دادن سرورها و مدیران سیستم با کدهای مخرب تحت وب روش ساده ای برای دسترسی مدیریتی و کنترل تمامی شبکه است.»

از ویژگی‌های تهدیدات و حملات پیشرفته و مستمر (APT-style attacks)، استمرار آنها، سرقت کاملاً مخفیانه اسناد الکترونیکی، گسترش غیرمستقیم در شبکه و اجرای همزمان حملات دیگر بنا به دستورات دریافتی اشاره کرد، و محققین هدف قرار گرفتن شبکه‌های مخابراتی GSM توسط بدافزار رجین را بسیار قابل توجه و خظرناک می‌دانند.

کاستین رایو، مدیر تیم تحقیق و بررسی جهانی شرکت کسپرسکی، در این مورد گفت: «در جهان امروز ما بیش از حد به شبکه‌های مخابراتی تلفن همراه که بر پایه پروتکلهای ارتباطی قدیمی همراه و تقریباً فاقد امنیت برای کاربران نهایی میباشند وابسته‌ایم. اگرچه تمام شبکه‌های GSM از مکانیزمی برخوردارند که دسترسی‌هایی را به برخی ازنهادها نظیر ارگانهای دولتی و حقوقی برای ردیابی متهمین و موارد دیگر ارائه مینماید ولی نباید از این غافل بود که این مکانیزم همواره میتواند توسط افراد یا گروه‌های سودجو کنترل شود و برای حملات گوناگون بر علیه کاربران مختلف موبایل مورد سوء استفاده قرار گیرد.»
GSM که مخفف عبارت Global System for Mobile Communications بمعنی سامانه جهانی ارتباطات همراه است استاندارد پیش‌فرض شبکه‌های همراه مورد استفاده توسط شرکت‌های مخابرات سراسر دنیا میباشد. به گزارش کسپرسکی، این مجرمین همچنین قادر بوده‌اند که اطلاعات کاربری محرمانه‌ای را از طریق یک کنترل کننده ایستگاه پایه یا BSC (Base Station Controller) در یک شبکه GSM داخلی مربوط به یکی از اپراتورهای بزرگ که به آنها اجازه دسترسی به تلفن‌های همراه آن شبکه خاص را داده بوده است، سرقت نمایند.
کنترل کننده ایستگاه پایه یا BSC ، وظیفه کنترل و مدیریت تماسهای شبکه همراه، انتقال داده‌های همراه، و اختصاص دادن منابع مربوطه را بر عهده دارد.

کسپرسکی طی این گزارش عنوان کرد: «این بدین معنی است که آنها می‌توانستند اطلاعاتی مبنی بر اینکه یک شماره همراه خاص با چه شماره‌هایی تماس داشته است داشته باشند، اقدام به انتقال این تماس‌ها به شماره‌هایی دیگر نمایند، و با فعالسازی شماره‌های همراه نزدیک و اقدام به سایر فعالیت‌های مخرب نمایند. در حال حاضر، مجرمینی که از بدافزار رجین برای حملات خود استفاده می‌نمایند، تنها افرادی هستند که قادر به انجام چنین عملیاتی میباشند»
محققین کسپرسکی همچنین بخش‌هایی از لاگ یا گزارش یک کنترل کننده ایستگاه پایه را که برای سال ۲۰۰۸ بود منتشر نمودند، که حاوی دستوراتی بود که به یک طرف سوم اجازه می‌داد اقدام به اعمال تنظیمات انتقال تماس، فعالسازی یا قطع یک شماره در شبکه GSM، و افزودن شماره‌های نزدیک یک شبکه نمایند. این لاگ همچنین حاوی اطلاعات کاربری محرمانه مربوط به حساب‌های مهندسی بود.

زیرساخت این دستورات که از سوی مجرمین کنترل می‌شده است، فعالسازی تهدیدات بک‌دورها (backdoor) را نیز شامل میشدند. با رمزنگاری و پیچیدگی موجود در ارتباطات این شبکه شانس شناسایی این دستورات کمتر از پیش بوده است. در نتیجه سیستمهای کلیدی این شبکه نقش پلی ارتباطی بین قربانیان داخلی شبکه و زیرساخت دستورات یاد شده را ایفا میکنند.
طبق گزارش کسپرسکی: «اغلب قربانیان با استفاده از پروتکل‌های ارتباطی گوناگونی نظیر HTTP که در فایل پیکربندی (config file) نیز مشخص میگردد به ارتباط با سایر سیستم‌های داخل شبکه میپردازند. هدف چنین زیرساخت پیچیده‌ای رسیدن به دو هدف بوده است: دسترسی و نفوذ کامل حمله‌کنندگان به شبکه و گذشتن از موانع احتمالی؛ و اختصاص دادن ترافیک شبکه تا حد امکان به سرور دستور و کنترل (C&C) یا همان سرور آلوده و رابط.
رجین بتدریج طی ۵ مرحله به مجرمین یا حمله‌کنندگان امکان دسترسی کامل به یک شبکه مورد حمله را میدهد. ماژول‌های مرحله اول تنها ابزارهای اجرایی هستند که روی رایانه قربانی ذخیره میگردد و تمامی آنها از مجوزهای نرم‌افزاری جعلی برخوردارند که تظاهر میکنند ساخته شرکت مایکروسافت و Broadcom میباشند.