ویروس Regin :: یادداشت های من ....(مجید محمدی)

به گزارش ایتنا از روابط عمومی شرکت پارس آتنا دژ، کشف بدافزار Regin، در چند روز گذشته سر و صدای زیادی را در محافل خبری و تخصصی داخلی و خارجی به پا کرده است.
ورژن‌های مختلف این بدافزار، براساس برخی روایت‌ها بیش از یک دهه است به جاسوسی از کشورهای مختلف می‌پردازد. شرکت کسپرسکی که حدود دو سال است این بدافزار را مورد رهگیری قرار داده است، در گزارشی به معرفی این بدافزار پرداخته است.

محققین امنیتی اخیراً مؤفق به شناسایی یک بدافزار جاسوسی شدند که اقدام به جاسوسی از ارگانها و مؤسسات دولتی و تحقیقاتی ۱۴ کشور مختلف می‌نموده است.
این بدافزار که یادآور بدافزار "دوکو" می‌باشد، حداقل از سال ۲۰۰۸ بمنظور جاسوسی از سازمان‌ها و ارگان‌های مختلف چندین کشور مورد استفاده قرار میگرفته است. این بدافزار نه تنها بمنظور جاسوسی از طریق استخراج ایمیل‌ها و اسناد گوناگون سازمانهای دولتی، مؤسسات تحقیقاتی و بانکها استفاده می‌شده است بلکه یکی از مهمترین اهداف آن شبکه‌ها و اپراتورهای مخابراتی GSM بوده است تا از این طریق با نفوذ بیشتری اقدام به حملات نماید.

گزارشی که شرکت کسپرسکی منتشر نمود، این جنبه تهدیداتی بدافزار Regin که روی ۲۷ رایانه تحت ویندوز در سازمان‌های ۱۴ کشور قربانی، که اغلب آنها کشورهای منطقه یعنی از خاورمیانه و آسیایی می‌باشند، شناسایی شده است، را تشریح می‌نماید. علاوه بر اهداف و قربانیان سیاسی این حمله، بنا بر یافته‌های آزمایشگاه تحقیقاتی کسپرسکی یک مؤسسه تحقیقاتی که نامی از آن منتشر نشده است و پیشتر مورد حمله بدافزارهایی نظیر Mask/Careto، Turla، Itaduke، و Animal Farm قرار گرفته بود، و یکی از رمزنگاران سرشناس بلژیکی به نام ژان ژاک کیسکواتر (Jean-Jacques Quisquater) از جمله قربانیان خاص این بدافزار بوده‌اند.
ناقلین اولیه این آلودگی‌ بدافزاری همچنان ناشناس می‌باشند اما محققین شرکت کسپرسکی بر این باورند که در چند نمونه بررسی شده، مجرمین از طریق اکسپلویت یا کد مخرب zero-day صورت گرفته تا به روش MitM (Man-in-the-middle یا مرد میانی) به این حملات بپردازند و به سیستم قربانیان نفوذ نمایند.

محققین شرکت کسپرسکی اظهار داشتند: «در سیستم برخی از قربانیان ابزارها و ماژول‌هایی برای اهدافی جانبی مشاهده نمودیم. تاکنون کد مخربی شناسایی یا مشاهده نشده است. همچنین ماژول‌های همتاسازی (replication modules)، از طریق ابزارهای اشتراک‌گذاری ویندوز بوسیله رایانه سرپرست یا ادمین سیستم به رایانه‌های ریموت منتقل و روی آنها اجرا شده‌اند. طبیعتاً این روش به نیاز به دسترسی‌ها و اجرا از جانب سرپرست یا ادمین شبکه مورد حمله دارد و در برخی موارد مشاهده گردید که ماشین‌های آلوده سرورهای domain controller بودند. مورد هدف قرار دادن سرورها و مدیران سیستم با کدهای مخرب تحت وب روش ساده ای برای دسترسی مدیریتی و کنترل تمامی شبکه است.»

از ویژگی‌های تهدیدات و حملات پیشرفته و مستمر (APT-style attacks)، استمرار آنها، سرقت کاملاً مخفیانه اسناد الکترونیکی، گسترش غیرمستقیم در شبکه و اجرای همزمان حملات دیگر بنا به دستورات دریافتی اشاره کرد، و محققین هدف قرار گرفتن شبکه‌های مخابراتی GSM توسط بدافزار رجین را بسیار قابل توجه و خظرناک می‌دانند.

کاستین رایو، مدیر تیم تحقیق و بررسی جهانی شرکت کسپرسکی، در این مورد گفت: «در جهان امروز ما بیش از حد به شبکه‌های مخابراتی تلفن همراه که بر پایه پروتکلهای ارتباطی قدیمی همراه و تقریباً فاقد امنیت برای کاربران نهایی میباشند وابسته‌ایم. اگرچه تمام شبکه‌های GSM از مکانیزمی برخوردارند که دسترسی‌هایی را به برخی ازنهادها نظیر ارگانهای دولتی و حقوقی برای ردیابی متهمین و موارد دیگر ارائه مینماید ولی نباید از این غافل بود که این مکانیزم همواره میتواند توسط افراد یا گروه‌های سودجو کنترل شود و برای حملات گوناگون بر علیه کاربران مختلف موبایل مورد سوء استفاده قرار گیرد.»
GSM که مخفف عبارت Global System for Mobile Communications بمعنی سامانه جهانی ارتباطات همراه است استاندارد پیش‌فرض شبکه‌های همراه مورد استفاده توسط شرکت‌های مخابرات سراسر دنیا میباشد. به گزارش کسپرسکی، این مجرمین همچنین قادر بوده‌اند که اطلاعات کاربری محرمانه‌ای را از طریق یک کنترل کننده ایستگاه پایه یا BSC (Base Station Controller) در یک شبکه GSM داخلی مربوط به یکی از اپراتورهای بزرگ که به آنها اجازه دسترسی به تلفن‌های همراه آن شبکه خاص را داده بوده است، سرقت نمایند.
کنترل کننده ایستگاه پایه یا BSC ، وظیفه کنترل و مدیریت تماسهای شبکه همراه، انتقال داده‌های همراه، و اختصاص دادن منابع مربوطه را بر عهده دارد.

کسپرسکی طی این گزارش عنوان کرد: «این بدین معنی است که آنها می‌توانستند اطلاعاتی مبنی بر اینکه یک شماره همراه خاص با چه شماره‌هایی تماس داشته است داشته باشند، اقدام به انتقال این تماس‌ها به شماره‌هایی دیگر نمایند، و با فعالسازی شماره‌های همراه نزدیک و اقدام به سایر فعالیت‌های مخرب نمایند. در حال حاضر، مجرمینی که از بدافزار رجین برای حملات خود استفاده می‌نمایند، تنها افرادی هستند که قادر به انجام چنین عملیاتی میباشند»
محققین کسپرسکی همچنین بخش‌هایی از لاگ یا گزارش یک کنترل کننده ایستگاه پایه را که برای سال ۲۰۰۸ بود منتشر نمودند، که حاوی دستوراتی بود که به یک طرف سوم اجازه می‌داد اقدام به اعمال تنظیمات انتقال تماس، فعالسازی یا قطع یک شماره در شبکه GSM، و افزودن شماره‌های نزدیک یک شبکه نمایند. این لاگ همچنین حاوی اطلاعات کاربری محرمانه مربوط به حساب‌های مهندسی بود.

زیرساخت این دستورات که از سوی مجرمین کنترل می‌شده است، فعالسازی تهدیدات بک‌دورها (backdoor) را نیز شامل میشدند. با رمزنگاری و پیچیدگی موجود در ارتباطات این شبکه شانس شناسایی این دستورات کمتر از پیش بوده است. در نتیجه سیستمهای کلیدی این شبکه نقش پلی ارتباطی بین قربانیان داخلی شبکه و زیرساخت دستورات یاد شده را ایفا میکنند.
طبق گزارش کسپرسکی: «اغلب قربانیان با استفاده از پروتکل‌های ارتباطی گوناگونی نظیر HTTP که در فایل پیکربندی (config file) نیز مشخص میگردد به ارتباط با سایر سیستم‌های داخل شبکه میپردازند. هدف چنین زیرساخت پیچیده‌ای رسیدن به دو هدف بوده است: دسترسی و نفوذ کامل حمله‌کنندگان به شبکه و گذشتن از موانع احتمالی؛ و اختصاص دادن ترافیک شبکه تا حد امکان به سرور دستور و کنترل (C&C) یا همان سرور آلوده و رابط.
رجین بتدریج طی ۵ مرحله به مجرمین یا حمله‌کنندگان امکان دسترسی کامل به یک شبکه مورد حمله را میدهد. ماژول‌های مرحله اول تنها ابزارهای اجرایی هستند که روی رایانه قربانی ذخیره میگردد و تمامی آنها از مجوزهای نرم‌افزاری جعلی برخوردارند که تظاهر میکنند ساخته شرکت مایکروسافت و Broadcom میباشند.
معرفی و تاریخچه
در بهار ۲۰۱۲، بدافزاری به نام Duqu توسط شرکت Kaspersky Lab معرفی شد. متعاقب آن، یکی از محققان امنیتی اطلاعاتی را در مورد بدافزاری مشابه به کسپرسکی ارائه کرد که البته این اطلاعات فاقد نمونه ویروس بود. پس از آن، یکی از محققان همکار کسپرسکی، از این بدافزار به نام Regin یاد کرد، بدافزاری که اکنون بسیاری از سازمان‌های امنیتی را در سراسر دنیا مورد حمله قرار داده است.

حدود دو سال است که شرکت Kaspersky Lab این بدافزار مخرب را مورد ردگیری قرار داده است.
با بررسی‌ها و نظارت‌های مختلف مشخص شد که نمونه‌های این بدافزار ارتباطی به هم ندارند و به صورت‌های مختلف عمل می‌کنند.
زمان ساخت اولین نسخه Sample دقیقا مشخص نیست. برخی از نمونه‌های این مخرب دارای مهر زمانی ۲۰۰۳ می باشند.
قربانیان این بدافزار به دسته‌های زیر تقسیم می شوند:
- اپراتورهای مخابراتی
- موسسه های دولتی
- پارلمان های سیاسی چند ملیتی
- موسسه های مالی
- موسسه های تحقیقاتی
- افرادی که به صورت خاص در زمینه ی تحقیقات پیشرفته رمزنگاری فعالیت می کنن‌.

تا اکنون، دو هدف اصلی حملات ناشی از این بدافزار مشاهده شده است:
- جمع آوری اطلاعات هوشمند
- تسهیل سایر حملات
در حالی که در بیشتر موارد، مهاجمان تمرکز شان بر روی استخراج اطلاعات حساس مانند ایمیل‌ها و مستندات است، مواردی نیز مشاهده شده است که مهاجمان اپراتورهای مخابراتی را نیز مورد هدف قرار داده‌ تا راه را برای حملات اضافی باز کنند.

شاید یکی از شناخته شده‌ترین قربانیان Regin را بتوان Jean Jacques Quisquater (یاhttps://en.wikipedia.org/wiki/Jean-Jacques_Quisquater)، رمزنگار مشهور بلژیکی، دانست. در فوریه ۲۰۱۴، وی اعلام کرد که قربانی یک نفوذ سایبری پیشرفته شده است. شرکت Kaspersky Lab توانست نمونه‌هایی از مورد Quisquater را دریافت کند و تایید کند که آنها به پلتفرم Regin اختصاص دارند.

قربانی دیگر Regin کامپیوتری است با نام The Magnet of Threats. این کامپیوتر متعلق به یک موسسه تحقیقاتی است و توسط Turla، Mask/Careto، Regin، Itaduke، Animal Farm و برخی بدافزار پیشرفته دیگر مورد حمله قرار گرفته و به طور هم‌زمان میزبان تمام این تهدیدات است.

نفوذ اولیه و تحرکات بعدی
متد دقیق اولین حمله این بدافزار به عنوان یک راز باقی مانده است. اگر چه برخی تئوری‌ها وجود دارند که شامل حملات man-in-the-middle با exploitهای zero-day است. در مورد برخی قربانیان، ابزارها و ماژول‌هایی مشاهده شده است که به منظور تحرکات بعدی طراحی شده‌اند. تا این جا هیچ exploit خاصی مشاهده نشده است. ماژول‌های دیگر در حقیقت از طریق share مربوط به ویندوز به کامپیوترهای راه دور انتقال داده و اجرا می‌شوند.
واضح است این تکنیک نیاز به سطح دسترسی administrator در داخل شبکه قربانی دارد. در برخی موارد سیستم‌های آلوده شده در اصل DCهای ویندوزی نیز بوده‌اند. حمله به کاربران administrator سیستم‌ها از طریق exploitهای مبتنی بر وب یکی از راه‌های ساده برای دسترسی و در اختیار گرفتن مجوز administrator در کل شبکه است.

پلتفرم Regin
به طور مختصر، Regin یک حمله سایبری است که مهاجمان را قادر می‌سازد تا در کل شبکه قربانی بتوانند دسترسی را در تمام سطوح به دست آورند و کنترل از راه دور داشته باشند. این پلتفرم به صورت ماژولار بوده و دارای مراحل (Stage) مختلف است.

دیاگرام پلتفرم Regin
مرحله اول (“stage ۱”) ورود و ظاهر شدن فایل اجرایی در کامپیوتر قربانی است. مراحل بعدی یا به صورت NTFS Extended Attributes مستقیما بر روی هارد ذخیره می‌شوند و یا به عنوان entry در رجیستری جای می‌گیرند. ماژول‌های زیادی در مرحله ۱ مشاهده شده‌اند که گاهی با منابع عمومی ادغام می‌شوند تا به نوع خاصی از چندریختی (Polymorphism) دست یابند و در نتیجه روند شناسایی دشواری داشته باشند.
مرحله دوم فرآیند چندگانه دارد و می‌تواند آلودگی ناشی از Regin را پس از ورود به مرحله سوم، از سیستم حذف کند. مرحله دوم نیز یک فایل marker می‌سازد که می‌تواند به منظور تعیین سیستم آلوده مورد استفاده قرار گیرد. فایل‌های شناخته شده برای این marker به صورت زیر هستند:
• %SYSTEMROOT%\system32\nsreg1.dat
• %SYSTEMROOT%\system32\bssec3.dat
• %SYSTEMROOT%\system32\msrdc64.dat
مرحله ۳ تنها بر روی سیستم‌های ۳۲ بیتی وجود دارد و در سیستم‌های ۶۴ بیتی مرحله ۲ مستقیما dispatcher را بارگذاری می‌کند و از مرحله ۳ عبور می‌کند.
مرحله ۴، dispatcher، شاید پیچیده‌ترین ماژول در کل پلتفرم باشد. در حقیقت dispatcher هسته user-mode فریم‌ورک است. این ماژول در سیستم‌های ۶۴ بیتی به طور مستقیم در فرآیند بوت بارگذاری می‌شود و در سیستم‌های ۳۲ بیتی به عنوان ماژول ۵۰۲۲۱ بارگذاری می‌شود. این ماژول پیچیده‌ترین وظایف پلتفرم Regin مانند تهیه API برای دسترسی به virtual system files، برقراری ارتباطات اولیه و توابع ذخیره‌سازی و همچنین انجام سابروتین‌های انتقال شبکه را بر عهده دارد. به عبارت دیگر dispatcher مغز این پلتفرم محسوب می‌شود. اطلاعات کامل مراحل پلتفرم Regin در این لینک قابل دریافت است.

ماژول‌های غیرمعمول و ساختگی
در برخی از Virtual File Systemها این مورد مشاهده می‌شود که ردپایی از ماژول‌های راه‌اندازی شده در سیستم قربانی وجود دارد که به صورت کلماتی در آنها ذخیره شده است. به عنوان مثال به موارد زیر می توان اشاره کرد:
• legspinv2.6 and LEGSPINv2.6
• WILLISCHECKv2.0
• HOPSCOTCH
ماژول دیگری که یافته شده است از نوع ۵۵۰۰۱.۰ است که دارای نام U_STARBUCKS:

GSM Targeting
جالب ترین نکته در مورد Regin این است که یکی از اپراتور های بزرگ GSM را نیز آلوده کرده است. یک VFS رمزگذاری شده با شناسه ۵۰۰۴۹.۲ پیدا شد که به نظر می‌رسد log فعالیت یک کنترل کننده ایستگاه GSM است.

ساختار یک شبکه GSM

در شکل زیر نمونه ای از log فعالیت GSM دیکد شده و نمایش داده شده است:

حجم این log حدود ۷۰ کیلوبایت است و شامل صدها entry مانند تصویر فوق می باشد. همچنین شامل مهرهای زمانی می باشد که نشان می‌دهد دستور مربوطه چه زمانی اجرا شده است. در شکل زیر تعداد دستورات (OSS) هر روز که log آنها تهیه شده است نمایش داده شده است:

داده های موجود در log نشان می‌دهد که شامل فرامین OSS MML مربوط به Ericsson است. در شکل زیر برخی از فرامین استفاده شده و همچنین مهرهای زمانی آنها نشان داده شده است:

البته از آن جا که بررسی فرامین فوق و توصیف عملکرد آنها نیازمند دانش کلی در این زمینه است، برای اطلاعات بیشتر می توانید به منبع خبر مراجعه کنید. به طور کلی در شکل زیر نشان داده شده است که عملکرد این پلتفرم در کدام حوزه ها بوده است.

همچنین در شکل زیر نشان داده شده است که در میان ۲۷ کشور کلی که قربانی این حمله بوده اند، ۱۴ کشور به صورت مشخص‌تر شناسایی شده‌اند که به طور جدی‌تر و با حجم بالاتر مورد حمله قرار گرفته‌اند:

نتیجه گیری
بیش از یک دهه است که گروهی حرفه‌ای به نام Regin مراکز سطح بالای دنیا را توسط پلتفرم بدافزاری پیشرفته خود مورد حمله قرار می‌دهد. در نتیجه می‌توان گفت فعالیت آن هنوز برقرار بوده و احتمالا نسخه‌های جدیدتری از آن در حال ایجاد است. جدیدترین نمونه مشاهده شده از آن بر سیستمی ۶۴ بیتی بوده که در بهار ۲۰۱۴ فعال بوده است.
نام Regin در حقیقت معکوس شده In Reg و یا به طور کامل‌تر In Registry است. چرا که ماژول‌های آن در رجیستری ذخیره می‌گردد. شناسایی این نام برای اولین بار در محصولات امنیتی در سال ۲۰۱۱ ظاهر شد.
از منظر دیگر، این پلتفرم ما را به یاد بدافزار Turtla می‌اندازد. شباهت این دو بدافزار در استفاده از VFSها و ایجاد ارتباطات پنهان به منظور پل زدن میان شبکه‌های مختلف است. همچنین پیاده‌سازی، متدهای نام گذاری، پلاگین‌ها و تکنیک‌های مخفی‌سازی در Regin حتی در سطح بالاتری قرار دارد. از طرفی قابلیت نفوذ این بدافزار به شبکه های GSM شاید مهم‌ترین و غیرمعمول‌ترین جنبه رفتاری این بدافزار است. امروزه استفاده از دستگاه‌های موبایل بسیار رایج است و بنابراین بحث امنیت در این دستگاه‌ها حیاتی می‌شود.
محصولات Kaspersky ماژول های پلتفرم Regin را با نام‌های Trojan.Win32.Regin.gen و Rootkit.Win32.Regin شناسایی می‌کند.

فایل pdf مقابله با Regin

فضای مجازی به اندازه انقلاب اسلامی اهمیت دارد
امام خامنه ای رو حی فداه

یادداشت های من ....(مجید محمدی)

(یادداشت هایی شخصی درباره فنآوری اطلاعات، شبکه، امنیت و هواشناسی (مجید محمدی.فاوا هواشناسی همدان))