کمیته رکن چهارم – محققان امنیتی متوجه شدند که برخی از ماژولهای مورد استفاده در جاسوسی سایبری تولکیت بدافزار Regin، به احتمال زیاد قبل از پلت فرم این بدافزار مخرب ایجاد شده است.
به گزارش کمیته رکن چهارم به نقل از سایبریان، با تجزیه و تحلیل اجزای Hopscotch و Legspin متوجه شدند که در حملات و تهدیدهای پیشرفته و مستمر بدافزار رگین، هر یک از این اجزا میتوانند به طور جداگانه برای ایجاد حملات مخرب مورد استفاده قرار گیرند و به عنوان یک درب پشتی (backdoor) به سامانههای مورد هدف حمله کنند.
با توجه به گزارش ارائه شده از سوی دو محقق امنیتی کسپرسکی با نامهای کاستین رائو و ایگور سومنکو، Hopscotch یک ابزار تعاملی است که اجازه حرکت عمیقتر و تخریب بیشتر در شبکه مورد هدف را بر عهده دارد. این ابزار هیچ گونه اکسپلویتی را دارا نمیباشد، اما شامل یک فایل اجرایی برای فعالیتهای جانبی است.
ابزار Hopscotch متکی بر اطلاعات احراز هویت بوده و از راه دور توسط مهاجم برای دسترسی به ماشین آلات و شبکه مورد هدف به کار گرفته میشود. همچنین هدف این ابزار ایجاد یک جای پای محکم برای خود در شبکه، جهت انجام عملیات مخرب بعدی عنوان شده است.
محققان امنیتی کسپرسکی در وبلاگ خود عنوان کردند: “این ماژول میتواند دو روال را برای احراز هویت خود در ماشین هدف به کار گیرد. یکی از آنها اتصال با نام IPC$ و یا ورود به سیستم به عنوان یک کاربر محلی با نام SU یا همان switch user است که دارای حقوق کافی برای ادامه اقدامات بیشتر است.”
ماژول Legspin در بدافزار رگین نیز برای هدف قرار دادن رایانههای دولتی طراحی شده است و دسترسی از راه دور را برای مهاجم فراهم میآورد. محققان کسپرسکی به شواهدی دست یافتهاند که این ابزار در سال ۲۰۰۳ طراحی شده است. همچنین دلایلی وجود دارند که ماژول Legspin، دارای نسخههای دیگری است که در گذشته مورد استفاده قرار گرفته است.
نسخه Legspin که توسط کسپرسکی مورد تجزیه و تحلیل قرار گرفته، اجازه میدهد تا مدیریت فایل در رایانه آلوده انجام شود. همچنین بازیابی دادهها، دسترسی به اطلاعات سامانه و فضای در دسترس ذخیره سازی، آزادسازی اطلاعات رجیستری و فهرست سرورهای قابل مشاهده در یک دامنه یا کنترل کنندههای دامنه، از دیگر کاراییهای Legspin میباشند.
اگر چه تجزیه و تحلیل بدافزار رگین از سال ۲۰۱۲ آغاز شده است، اما هنوز هم مقدار زیادی از سوالات بی پاسخ درباره این ابزار جاسوسی خطرناک وجود دارد؛ بدافزاری که اهداف خود را از میان شرکتهای مخابراتی، سازمانهای دولتی و نهادهای سیاسی، موسسات مالی، مراکز تحقیقاتی و افراد خاص اتنخاب میکند.
منبع :سایبریان
