شگرد شرکت‌های امنیتی مانند سیمانتک در انتشار اخبار بدافزارهای سوخته/"رجین" قابل مقایسه با "استاکس‌نت" نیست

به گزارش خبرنگار علمی "خبرگزاری دانشجو"، در پی کشف محققان امنیتی از ابزار جاسوسی جدیدی به نام "رجین" نهادهای امنیتی چون سیمانتک خبر از جاسوسی عظیمی از دولت‌ها و زیرساخت‌ها دادند. این برافزار قطعه‌ای بسیار پیشرفته از یک بدافزار است به عنوان ابزاری مفید در جاسوسی طیف وسیعی از اهداف بین‌المللی مورد استفاده قرار گرفته و طبق گزارش این شرکت، ایران یکی از اهداف اصلی آن بوده است.

در همین راستا سجاد نفیسی، کارشناس امنیت و معاون فنی شرکت امن‌پرداز در گفتگو با خبرنگار علمی "خبرگزاری دانشجو"، به بیان جزئیات بدافزار "رجین" و بررسی موضوع احتمال خطر برای ایران پرداخت.

"خبرگزاری دانشجو": لطفا توضیح دهید که بدافزار رجین چگونه بدافزاری است و هدف از انتشار آن چیست؟

نفیسی: بدافزار رجین یک بدافزار قدیمی است که حداقل از ۶ تا 8 سال پیش وجود داشته و مشغول به کار بوده است. همچنین حداقل از سال ۲۰۱۱ یعنی 3 سال پیش، این بدافزار توسط ضد ویروس‌ها تشخیص داده شده است و در واقع نام "رجین" یا Regin از همان موقع برای انجام اعمال جاسوسی انتخاب شده است.

هدف این بدافزار رایانه‌ای، در یک کلمه جاسوسی اطلاعات بوده و انواع اطلاعات از جمله رمزهای عبور، فایل‌های مهم و تصویر صفحه نمایش را به سرقت ‌برده است. همچنین توانایی جاسوسی از شبکه مخابراتی GSM از دیگر ویژگی‌های این بدافزار است.

نکته قابل توجه در مورد این بدافزار این است که خصوصیات اعلام شده در مورد این بدافزار هیچ کدام جدید یا خارق‌العاده نیستند و در بسیاری از ویروس‌ها پیدا می‌شوند.

"خبرگزاری دانشجو": پس به چه دلیل "رجین" اینقدر مهم شده و در رسانه‌ها از آن یاد می‌شود؟

نفیسی: به نظر بنده این بدافزار آنچنان هم که در رسانه‌ها بزرگ شده است، بدافزار مهم و قابل توجهی نیست و این یعنی بدافزار "رجین" خیلی خارق‌العاده نبوده و بسیاری بدافزار مخرب‌تر و خطرناک‌تر از آن نیز وجود داشته‌اند که تاکنون رسانه‌ای نشده‌اند.

"خبرگزاری دانشجو": پس به چه دلیل است که شرکت‌های امنیتی مختلف به این بدافزار پرداخته و از جاسوسی آن علیه دولت‌ها صحبت می‌کنند؟

نفیسی: همانطور که گفتم رجین از 3 سال پیش شناسایی شده اما به دلیل انتشار نسخه جدیدی از این بدافزار مجددا نام "رجین" بر سر زبان‌ها افتاده و رسانه‌ای شده است.

درابتدا این گزارش توسط سیمانتک و بعدا کسپراسکی به فاصله کمتر از یک روز منتشر شده است. من برخی قسمت‌های این گزارش را برای شما عینا نقل می‌کنم: برای مثال سیمانتک در گزارش خود ذکر می‌کند که بازه فعالیت بدافزار از ۲۰۰۸ تا ۲۰۱۱ بوده و سپس نسخه جدید آن از ۲۰۱۳ فعال شده است. اما اگر به همین گزارش دقت کنید، سیمانتک نام نسخه‌ای از بدافزار که در بازه ۲۰۰۸ تا ۲۰۱۱ فعال بوده را «ویرایش ۱.۰» گذاشته است و در همان ابتدای گزارش می‌گوید که تحلیل فقط روی ویرایش ۱.۰ و تنها کمی از ویرایش ۲.۰ انجام شده است.

"خبرگزاری دانشجو": یعنی منظور شما این است که سیمانتک گزارش تحلیلی از نسخه قدیمی منتشر کرده‌است؟

نفیسی: بله و این نکته را من از خود گزارش می‌گویم و دقیقا چیزی است که خود سیمانتک نوشته است. اما گزارش کسپراسکی جالب‌تر است؛ چرا که در گزارش کسپراسکی ذکر شده که آخرین نسخه دیده شده از این بدافزار مربوط به بهار ۲۰۱۴ است، یعنی ۷ تا ۹ ماه پیش.

"خبرگزاری دانشجو": پس چرا این بدافزار اکنون در رسانه‌ها مطرح می‌شود؟

نفیسی: دقیقا سوال همین جا است و باید بگویم که مطلب جدیدی نیست و شگرد این شرکت‌ها همواره همین بوده است.

برای نمونه در قضیه بدافزار" فلیم" که مربوط به اردیبهشت ۹۱ بود (همان بدافزاری را می‌گویم که به شبکه شرکت ملی نفت ایران حمله کرده و اطلاعات کامپیوترها را پاک کرده بود) در آن زمان هم کاربران اگر اخبار را مرور کنند متوجه می‌شوند که کسپراسکی و سیمانتک، هر  2  در یک روز گزارشی از این بدافزار منتشر کرده‌اند و درست در یک روز ( تاکید می‌کنم کمتر از ۲۴ ساعت)  بعد از اینکه مرکز ماهر ایران اعلام کرده بود که ویروس را پیدا کرده و گزارش خود را داده بود.

"خبرگزاری دانشجو": یعنی سیمانتک و کسپراسکی گزارش خود را بعد از مرکز ماهر منتشر کردند؟

 نفیسی: بله و جالب این است که یک گزارش مفصل چند 10 صفحه‌ای منتشر کردند و حتی سیمانتک اسم آن را SkyWiper گذاشته و کسپراسکی اسم Flame را انتخاب کرد، در حالی‌که مرکز ماهر اسم Flamer را انتخاب کرده بود و در گزارش خود اظهار بی‌اطلاعی می‌کردند که نمی‌دانند اطلاعات توسط مرکز ماهر منتشر شده است.

"خبرگزاری دانشجو": تحلیل شما از دلیل رفتار این شرکت‌ها چیست؟

نفیسی: اولا اینکه گزارش‌هایی که اینگونه منتشر می‌شود همواره از یک بدافزار سوخته است. یعنی وقتی یک بدافزار کارکرد خود را از دست داده و دیگر فایده‌ای ندارد، زمان خوبی است که خبر آن منتشر شود. حداقل سود این شرکت‌ها این است که بعدا همه می‌گویند سیمانتک بود که "رجین" را تشخیص داد. در نتیجه اسم سیمانتک مطرح می‌شود. در حالیکه واقعا خبر جدیدی نبوده است.

همچنین در ماجرای ویروس "نارلیام" (narilam) نیز مشابه همین اتفاق رخ داد. به طوری که این ویروس نیز توسط سیمانتک در سال ۲۰۱۲ مطرح شد، در حالی که این ویروس 2 سال قبل یعنی ۲۰۱۰ توسط مرکز آپای دانشگاه شریف تحلیل شده بود و حتی کسپراسکی تصویر این تحلیل را هم در گزارشش آورده است.

"خبرگزاری دانشجو": ارتباط بدافزار رجین با بدافزارهایی مانند استاکس‌نت و دوکو چیست و چه تفاوت‌ و یا شباهت‌هایی با این 2 ویروس دارد؟

نفیسی: این نکته بسیار جالب است که معمولا هر بدافزاری پس از ورود با استاکس‌نت مقایسه می‌شود اما باید گفت "رجین" اصلا قابل قیاس با استاکس‌نت نیست و استاکس‌نت با حجم اختفایی که داشت، نه تنها در ویندوز، بلکه دستگاه‌های PLC را نیز مورد هدف قرار داده بود و هدف آن تخریب سانتریفیوژهای غنی‌سازی و بسیاری موارد دیگر بود و پیچیدگی آن به‌قدری بود که  هنوز حداقل 10 سال از سایر بدافزارها جلوتر است.

اما رجین از لحاظ خانواده و اصل و نسب ارتباطی با استاکس‌نت ندارد. بلکه یک بدافزار مستقل است که اهدافش نیز جاسوسی بوده است. شباهت آن با استاکس‌نت هم  از یک جهت است: اینکه رجین هم مانند استاکس‌نت یک بدافزار همگانی نبوده و برای اهداف خاص طراحی شده و هدف آن اختصاصا جاسوسی سیاسی و اقتصادی از کشورهای دیگر بوده است.

"خبرگزاری دانشجو": گفته شده است که هدف رجین سیستم‌های مخابراتی در کشورهای مانند روسیه، عربستان وایران بوده است. می‌توانید در این باره بیشتر توضیح دهید؟

نفیسی: از جمله قابلیت‌های رجین که کم نظیر بوده است امکان جاسوسی از مراکز GSM مخابراتی یعنی همین شبکه تلفن همراه بوده است. یعنی رجین توانایی جاسوسی از عملیات داخلی این شبکه‌ها و یا کنترل آنها را داشته است.

"خبرگزاری دانشجو": آیا ایران مورد هدف بدافزار رجین بوده است یا خیر؟ می‌توانید بیشتر توضیح دهید؟

نفیسی: رجین فعالیت بسیار محدودی داشته و حتی میزان آلودگی آن به نسبت فلیم و سایر بدافزارهای خاص منظوره نیز کمتر بوده است. یعنی خیلی به دقت اهداف خود را انتخاب است. به همین علت مثلا کسپراسکی در گزارش خودش، با وجود داشتن بیش از چند 10 میلیون کاربر، تنها ۲۷ آلودگی را گزارش کرده است.

ایران نیز قطعا مورد حمله بوده است، اما نه به طور خاص و گسترده. بلکه شاید در رده هفتم هشتم. از همین جهت است که پیدا کردن حتی یک آلودگی در ایران نیز بسیار نادر است. به‌خصوص که در نظر بگیرید خود کسپراسکی نیز از ۷ ماه پیش این بدافزار را هیچ کجا پیدا نکرده است.

در مورد حمله GSM هم، با اطلاعات محدودی که من دارم سیستم‌های مخابراتی ما ویندوزی نیستند که مورد حمله این بدافزار قرار گرفته باشند. البته در این مورد باید مسئولین مربوطه پاسخ بدهند.

"خبرگزاری دانشجو": با توجه به سابقه کشور ما در زمینه بدافزارها و جنگ‌افزارهای سایبری مانند استاکس‌نت، چه توصیه‌هایی برای محافظت در برابر این گونه حملات دارید؟

نفیسی: ایران سابقه بسیار زیادی در برخورد با اینگونه بدافزارها داشته‌است به طوری که دیگر به عینه می‌دانیم که اینگونه حملات گاهی مختص کشور ما و گاهی عمومی‌تر رخ می‌دهند و باید در مقابل آنها قوی باشیم. همواره هم از همین ضدویروس‌های خارجی مطرح و رتبه یک بین‌المللی استفاده کرده‌ایم و باز هم در برابر این حملات بی‌دفاع بوده‌ایم. بنابراین لازم است که از همین جا متوجه شویم که نگاه ما به این مساله غلط است.

"خبرگزاری دانشجو": یعنی چاره کار را در یک ضدویروس بومی می‌دانید؟

نفیسی: البته داشتن یک ضدویروس بومی یک قطعه بسیار مهم این پازل است که ما نباید گم کنیم. اما باید بدانیم که ضدویروس یک ابزار جادویی نیست که من روی رایانه‌ام نصب کنم و دیگر مشکلی نداشته باشم بلکه یک کاربر خانگی شاید اینطور باشد اما وقتی مساله سازمان‌های حیاتی و حساس کشور مطرح می‌شود، اینجا دیگر ضدویروس به تنهایی کارایی ندارد.

اینگونه حملات با هوش انسانی هدایت می‌شود و با قرار دادن چند ابزار و فایروال و ضدویروس نمی‌شود به جنگ با آنها پرداخت. اینها را باید حتما به صورت انسانی مرتبا نظارت کرد. وقتی مهاجم شما مرتب در فکر برنامه‌ریزی برای حرکت بعدی خودش است، شما هم باید مرتب برنامه‌ریزی کنید که جلوی آن را بگیرید.

"خبرگزاری دانشجو": پس ضدویروس به تنهایی کافی نیست؟

نفیسی: البته ضدویروس از جهات مختلفی مهم است، مثل اینکه توان این برنامه‌ریزی و مقابله را به شما می‌دهد و شما امکان تمرین کردن با حریف تمرینی را پیدا می‌کنید. اما ضدویروس چیزی است که در دسترس همین مهاجمان وجود دارد. بنابراین این مهاجم قبل از منتشر کردن رجین یا امثال آن، خیلی راحت تست می‌کند که ضدویروس شما و هیچ ضدویروسی دیگری آن را نگیرد و بعد منتشرش می‌شود.

بنابراین برای کاربر خانگی یا سازمان عادی شاید ضدویروس یک راه‌حل جامع باشد، اما در کشور و در سازمان‌های حساس نیاز به یک پایش مداوم و تاکید می‌کنم با نظارت انسانی و با ابزار بومی است. یعنی یک سامانه نظارت هوشمند و انسانی.

"خبرگزاری دانشجو": کاربران در مورد این بدافزار چه کارهایی باید انجام دهند. مثلا چگونه بفهمند رایانه آنها آلوده هست یا خیر؟ و آیا راهی برای پیشگیری از آلودگی به این بدافزار وجود دارد؟

نفیسی: برای کاربرانی که دغدغه دارند که آیا به این ویروس آلوده هستند یا خیر، ما در تیم ضدویروس پادویش ابزاری را تحت عنوان "تشخیص‌گر پادویش مربوط به رجین" منتشر کرده‌ایم که با یک بررسی چندجانبه از نشانه‌های ویروس، وجود آن را تشخیص می‌دهد. با این توضیح که این ابزار در واقع برای زمانی است که شما می‌خواهید بدانید سیستم‌تان آلوده شده است یا خیر و نقش جلوگیری ندارد.

برای پیشگیری از ابتلا به این بدافزار یا هر نوع ویروسی، مثل همیشه باید کاربران را دعوت کنیم که از یک محصول ضدویروس خوب استفاده کنند و آن را همواره به‌روز نگه دارند. از رفتارهای خطرناک، مثل باز کردن ایمیل‌های ناشناس یا مراجعه به سایت‌های نامعلوم پرهیز کنند و همواره نرم‌افزارهای سیستم خود اعم از ویندوز، آفیس و فلش را به‌روز نگه دارند.

ضمن ‌اینکه با توجه به گستردگی بسیار پایین بدافزار رجین، کاربران عادی می‌تواند خیالشان راحت باشد که مشکلی از این جهت ندارند. اما خطر ویروس‌هایی مانند "گامارو" و "کریپتولاکر" و مانند آن که بسیار شایع هستند، برای کاربران عادی بسیار بالاتر است؛ چرا که این بدافزارها و ویروس‌ها اطلاعات بانکی شما را می‌دزدند یا فایل‌های شما را رمز می‌کنند و می‌توانند یک تهدید واقعی باشند. از همین جهت است که داشتن یک ضدویروس خوب و نرم‌افزارهای بروز یک پیشنهاد همیشگی است.