چهارشنبه, ۰۵ آذر ۱۳۹۳
۱۵:۵۹
۳۹
از دو روز گذشته، انتشار گزارشهایی درباره بدافزار Regin که چندین کشور از جمله ایران را آماج قرار داده است، در سطح خبرگزاریهای بزرگ جهانی منتشر شد و «تابناک» موضوع ورود این بدافزار به کشور را به نقل از گزارش شرکت امنیتی سیمانتک برای اولین بار مطرح کرد –اینجا.
از این بدافزار به عنوان پیچیدهترین و خلاقانهترین نمونه بدافزارهای طراحی شده تا کنون نام بردهاند و حتی آن را بسیار پیچیدهتر از بدافزارهای مشهور «استاکس نت» و «فلیم» ارزیابی کردهاند. یکی از ویژگیهای منحصربفرد این بدافزار روش ماژولار و قدم به قدم آن همراه با الگوهای امنیتی فوق العاده برای مخفی ماندن بوده که کشف و رصد فعالیت آن را برای مدتها ناممکن ساخته بوده است. همین امر منجر به آن شده که این بدافزار از سال ۲۰۰۸ فعالیت خود را آغاز کند و تا سال ۲۰۱۴ کسی از آن خبردار نباشد.
به رغم اینکه هم در گزارش امنیتی شرکت سیمانتک و هم کسپرسکی در خصوص این بدافزار اشاره شده که ایران از اهداف اصلی این بدافزار بوده، اخیرا وزیر ارتباطات در اظهاراتی قابل توجه گفته است: خبری از این ویروس که عنوان کردید نامش «رین» است تا کنون به ما ندادهاند که مبنی بر وارد شدن آن به سیستمها ارتباطی داخل کشور باشد.
چند نکته در خصوص همین یک جمله از وزیر ارتباطات وجود دارد که باید به شکل اساسی به آنها پرداخت. اما قبل از آن بگذارید کمی بیشتر با این بدافزار و نحوه کشف آن آشنا شویم.
چه کسی Regin را برای اولین بار کشف کرد؟
دو شرکت امنیتی تقریبا همزمان در گزارشهایی، پرده از راز این بدافزار پیچیده برداشتند: سیمانتک –اینجا – و کسپرسکی – اینجا. البته سیمانتک با یک فاصله زمانی حدود یک روزه این موضوع را پیش از کسپرسکی افشا کرد.
کسپرسکی میگوید، در بهار سال ۲۰۱۲ برای اولین بار با این بدافزار مواجه شده است؛ اما برای اولین بار نام بدافزار Regin در وبسایت VirusTotal در مارچ ۲۰۱۱ دیده شده است. در همان مارچ ۲۰۱۱ مایکروسافت مدخل مربوطه را به فهرست دانشنامه بدافزارهای خود اضافه کرد.
در ژوئن ۲۰۱۳ نشریه آلمانی «اشپیگل» بر اساس مستنداتی که از ادوراد اسنودن به دست آمده بود، اذعان کرد که دولت ایالات متحده و NSA پروژهای عظیم از جاسوسی سایبری را بر علیه شهروندان و دولتهای اتحادیه اروپا آغاز کرده. همچنین عنوان کرد که سندی از سال ۲۰۱۰ نشان میدهد، NSA در آن سال از Regin برای مقاصد جاسوسی خود بهره برده است – اینجا.
دقیقا از همین زمان به بعد بود که این بدافزار مورد توجه و واکاوی شرکتهای امنیتی قرار گرفت؛ بد افزاری که هرچند تا پیش از این تقریبا شناخته شده بود، هیچ اطلاعی از عملکرد و ماهیت آن وجود نداشت!
آیا ایران به این بد افزار آلوده است؟
پاسخ این سوال قطعا مثبت است، زیرا در هر دو گزارش منتشر شده از سوی کسپرسکی و سیمانتک، ایران جزو اهداف اصلی این بدافزار ذکر شده است.
اما وزیر ارتباطات در ایران نظر دیگری در این خصوص دارد. بگذارید بار دیگر جمله دقیق وزیر ارتباطات در این مورد را بخوانیم؛
تاکنون خبری از این ویروس که گفتید نام آن «رین» است و مبنی بر وارد شدن آن به سیستمهای ارتباطی داخل کشور باشد، به ما ندادهاند.
نکته اول در تکذیب فعالیت این بدافزار در ایران در جملات واعظی نام بدافزار است. قطعا نام این بدافزار «رجین» و نه «رین» است و نشان میدهد که اساسا وزیر ارتباطات بدون کوچکترین اطلاعاتی در خصوص این بدافزار سخن گفته است. البته این امر میتواند ناشی از کم اطلاعی خبرنگاری باشد که از وزیر مصاحبه کرده و شاید به وی اطلاعات ناصحیح القا کرده است.
اما وزیر ارتباطات با جدیت هرچه تمامتر، فعالیت «رین» را در کشور تکذیب کرده که البته چندان بیراه نیست، زیرا هنوز بدافزاری با نام «رین» شناسایی نشده و موجودیت آن تأیید نشده؛ بحث بر سر Regin است.
نکته دوم آنکه این بدافزار جاسوس از سال ۲۰۰۸ مشغول فعالیت بوده است و هنوز هم فعالیت دارد و تازه بعد از شش سال غولهای امنیتی دنیا نظیر کسپرسکی و سیمانتک موفق به شناسایی دقیق ماهیت و نحوه عملکرد آن شدهاند. طبعا در چنین شرایطی کسی از وزارت ارتباطات ایران توقع شناسایی این بدافزار قبل از کسپرسکی و سیمانتک را ندارد تا گزارشهای آن به دست وزیر رسیده باشد.
نکته سوم، فراموش نکنیم اگر بنا بر مدعای اشپیگل، این بدافزار همان جاسوسی باشد که NSA طراحی و احتمالا با آن از اتاق خواب آنجلا مرکل صدر اعظم آلمان فیلم برداری کرده است، هیچ تعجبی ندارد که از سال ۲۰۰۸ از ایران جاسوسی کرده و گزارشهای آن به دست وزیران ارتباطات و سایر نهادهای امنیتی ذیربط نرسیده باشد.
ضمن آنکه نباید فراموش کرد، وضعیت امنیتی در نهادهای مهم کشور هنوز چندان قابل قبول نیست و دلیل هم آنکه در حال حاضر بسیاری از نهادهای دولتی و حاکمیتی در کشور از سیستم عامل ویندوز XP استفاده میکنند که عملا از رده خارج است و وصلههای امنیتی برای آن منتشر نمیشود.
غرض آنکه در جایی که کسپرسکی و سیمانتک بعد از شش سال این بدافزار را شناسایی کردهاند، هیچ ایرادی ندارد اگر وزیر ارتباطات ایران و یا سایر مسئولان ذیبربط حتی نام این بدافزار را هم ندانند. نکته اینجاست که با توجه به پیچیدگی حملات سایبری جدید، نه در مورد این بدافزار و نه در هیچ مورد دیگری نباید با جدیت و کاملا مطمئن، ورود آنها را به کشور و سیستمهای داخلی به استناد گزارشهایی که ثبت نشده است، تکذیب کرد.
بهترین اقدام در این خصوص، نه تکذیب بلکه دست به کار شدن همه نهادهای متولی برای شناسایی نقاطی که این بدافزار به آنها نفوذ کرده، برآورد اطلاعاتی از میزان فعالیت و جاسوسی آن و در نهایت اقدام برای بستن خلل و فرج امنیتی است.