کمیته رکن چهارم- شرکت ضدویروس Symantec بدافزار پیشرفته و پیچیده ای را شناسایی کرده که احتمالاً با حمایت دولت یا دولت هایی طراحی و ساخته شده است. این بدافزار که بیشتر رفتار یک جاسوس افزار (Spyware) را دارد، از سال ۲۰۰۸ میلادی در دهها کشور فعال بوده و برای جمع آوری اطلاعات از ارگان های دولتی، زیرساخت های کشور، شرکتهای تجاری و افراد حقیقی مورد استفاده قرار میگرفته.
شرکت Symantec از نام Regin برای اشاره به این بدافزار استفاده می کند. بر اساس بررسی های این شرکت، در ساخت بدافزار Regin از مهارت های فنی خاصی استفاده شده که به ندرت در بدافزارنویسان مشاهده می شود. به همین دلیل نیز معتقتد است که بدافزار Regin با حمایت دولت یا دولت هایی طراحی و ساخته شده است. شرکت Symantec هیچ حدسی درباره کشور(های) سازنده نزده است.
شرکت Symantec در یک اطلاعیه که به همراه یک گزارش فنی درباره بدافزار Regin منتشر کرده است، عنوان می کند که ردپای این بدافزار در کشورهای متعددی مشاهده شده ولی بیش از ۵۰ درصد آلودگی ها در دو کشور روسیه و عربستان سعودی بوده است. کشورهای دیگری که میزان آلودگی بالاتری داشته اند عبارتند از مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان.
اولین گونه Regin در بین سالهای ۲۰۰۸ تا ۲۰۱۱ میلادی فعال بوده ولی به دلایلی بطور ناگهانی فعالیت آن متوقف شده است. گونه دوم بدافزار در سال ۲۰۱۳ میلادی ظاهر شده است. بیش از نیمی از آلودگی های Regin مربوط به افراد حقیقی و شرکتهای کوچک می شود. همچنین این بدافزار تاکید خاصی بر روی شرکتها و زیرساختهای مخابراتی دارد. مواردی از آلودگی به Regin دیده شده که اقدام به سرقت مجوز دسترسی به مراکز ارتباطی GSM (تلفن های همراه) کرده است.
بدافزار Regin از پنج بخش تشکیل شده است. تمام بخش ها، به غیر از بخش اول، بصورت مخفی و رمزگذاری شده اند. با اجرای هر بخش، رمزگشایی بخش بعدی آغاز میشود. این نوع طراحی در بدافزارهای مشهور Stuxnet و Duqu نیز مشاهده شده است.
همچنین بدافزار Regin مشابه بدافزار Flame از قابلیت های مختلف و جداگانه ای برخوردار است که بر اساس نیاز و هدف مورد نظر، توسط گرداننده بدافزار، به بدنه اصلی افزوده می شوند.
هنوز بطور دقیق روش های آلودگی Regin شناسایی نشده است. یک احتمال وجود دارد که بدافزار از نقاط ضعف امنیتی ناشناخته سوء استفاده می کند تا به سیستم های مورد نظر خود رخنه کند. همچنین حدس زده میشود که با فریب کاربران به کلیک کردن بر روی پیوند یا فایلهای مخرب، بدافزار فرصت نفوذ به سیستم قربانی خود را پیدا می کند. تنها در یک مورد، شرکت Symantec مشاهده کرده که آلودگی از طریق پیام های Yahoo Messenger صورت گرفته است.
شرکت Symantec در گزارش خود که بیش از یکسال برای تهیه آن تحقیق و بررسی شده است، اذعان می کند که هنوز تمام قابلیت ها و عملکرد بدافزار Regin کشف و مشخص نشده است.