انتشار شده در تاریخ 1393/11/04 - 14:22

اطلاعات جدید درباره بدافزار رگین

محققان امنیتی شرکت کسپرسکی، با تجزیه و تحلیل اجزای Hopscotch و Legspin متوجه شدند که در حملات و تهدیدهای پیشرفته و مستمر بدافزار رگین، هر یک از این اجزا می‌توانند به طور جداگانه برای ایجاد حملات مخرب مورد استفاده قرار گیرند و به عنوان یک درب پشتی (backdoor) به سامانه‌های مورد هدف حمله کنند.

با توجه به گزارش ارائه شده از سوی دو محقق امنیتی کسپرسکی با نام‌های کاستین رائو و ایگور سومنکو، Hopscotch یک ابزار تعاملی است که اجازه حرکت عمیق‌تر و تخریب بیشتر در شبکه مورد هدف را بر عهده دارد. این ابزار هیچ گونه اکسپلویتی را دارا نمی‌باشد، اما شامل یک فایل اجرایی برای فعالیت‌های جانبی است.

ابزار Hopscotch متکی بر اطلاعات احراز هویت بوده و از راه دور توسط مهاجم برای دسترسی به ماشین آلات و شبکه مورد هدف به کار گرفته می‌شود. همچنین هدف این ابزار ایجاد یک جای پای محکم برای خود در شبکه، جهت انجام عملیات مخرب بعدی عنوان شده است.

محققان امنیتی کسپرسکی در وبلاگ خود عنوان کردند: "این ماژول می‌تواند دو روال را برای احراز هویت خود در ماشین هدف به کار گیرد. یکی از آنها اتصال با نام IPC$ و یا ورود به سیستم به عنوان یک کاربر محلی با نام SU یا همان switch user است که دارای حقوق کافی برای ادامه اقدامات بیشتر است."

ماژول Legspin در بدافزار رگین نیز برای هدف قرار دادن رایانه‌های دولتی طراحی شده است و دسترسی از راه دور را برای مهاجم فراهم می‌آورد. محققان کسپرسکی به شواهدی دست یافته‌اند که این ابزار در سال 2003 طراحی شده است. همچنین دلایلی وجود دارند که ماژول Legspin، دارای نسخه‌های دیگری است که در گذشته مورد استفاده قرار گرفته است.

نسخه Legspin که توسط کسپرسکی مورد تجزیه و تحلیل قرار گرفته، اجازه می‌دهد تا مدیریت فایل در رایانه آلوده انجام شود. همچنین بازیابی داده‌ها، دسترسی به اطلاعات سامانه و فضای در دسترس ذخیره سازی، آزادسازی اطلاعات رجیستری و فهرست سرورهای قابل مشاهده در یک دامنه یا کنترل کننده‌های دامنه، از دیگر کارایی‌های Legspin می‌باشند.

اگر چه تجزیه و تحلیل بدافزار رگین از سال 2012 آغاز شده است، اما هنوز هم مقدار زیادی از سوالات بی پاسخ درباره این ابزار جاسوسی خطرناک وجود دارد؛ بدافزاری که اهداف خود را از میان شرکت‌های مخابراتی، سازمان‌های دولتی و نهادهای سیاسی، موسسات مالی، مراکز تحقیقاتی و افراد خاص اتنخاب می‌کند.

در ذیل نقشه گستردگی بدافزار رگین را مشاهده می‌کنید که توسط شرکت کسپرسکی ارائه شده است.

همانطور که در بالا مشخص است، این بدافزار کشورهای زیادی از جمله روسیه، آلمان، افغانستان، بلژیک، برزیل، فیجی، سوریه، هند، اندونزی، مالزی، پاکستان وحتی ایران را تحت تاثیر قرار داده است.

هنوز هم خبرگزاری‌های امنیتی روسیه بر این باورند که این تروجان جاسوسی، توسط دولت‌های ایالات متحده و انگلیس به ویژه سازمان‌های جاسوسی این دو کشور، NSA و همتای انگلیسی آن GCHQ، ساخته شده است.