الجيش الأمريكي يقرر تقليص عدد قواته في سوريا إلى أقل من ألف    موعد مباراة الأهلي القادمة بعد الفوز على الفيحاء    يايسله يتغنى في الأهلي بعد اكتساح الفيحاء    القصيم تحتفل باليوم العالمي للتراث    لاندو نوريس يتصدر التجارب الثانية بجدة وتسونودا يتعرض لحادث    انتهاء مهلة تخفيض المخالفات المرورية بنسبة (50%) وعودتها إلى قيمتها الأساسية    انطلاق البرنامج التدريبي والتأهيلي ل "هاكثون التحوّل"    السعودية تنهى مشاركتها في ألعاب القوى الآسيوية ب"5″ ميداليات    «سلمان للإغاثة» يختتم الأعمال المتعلقة بتوزيع الأبقار على أمهات الأيتام والأرامل بسوريا    القادسية يكسب النصر بثنائية في دوري روشن للمحترفين    المملكة تدشّن مشاركتها في المعرض الدولي للنشر والكتاب بالمغرب 2025    القبض على 4 يمنيين بمكة لارتكابهم عمليات نصب واحتيال بنشر إعلانات حملات حج وهمية    عبدالله السلوم البهلال مدير تعليم عسير الأسبق في ذمة الله    إنتر ميلان يعلن إصابة مهاجمه قبل مواجهة برشلونة المرتقبة        قطاع وادي بن هشبل الصحي يُفعّل عدداً من الفعاليات    محافظ الطائف يستقبل مدير عام الرئاسة العامة لهيئة الأمر بالمعروف    جمعية المودة تدشّن "وحدة سامي الجفالي للتكامل الحسي"    وزارة التعليم تعقد دراسة لمساعدي مفوضي تنمية القيادات الكشفية    القائد الكشفي محمد بن سعد العمري: مسيرة عطاء وقيادة ملهمة    إدارة الأمن السيبراني بالرئاسة العامة لهيئة الأمر بالمعروف تحصل على شهادة الآيزو    بلدية البصر تطرح فرصة استثمارية في مجال أنشطة الخدمات العامة    ٢٤ ألف زائر وأكثر من 4 آلاف اتفاقية في منتدى العمرة    صيد سمك الحريد بجزر فرسان .. موروث شعبي ومناسبة سعيدة يحتفي بها الأهالي منذ مئات السنين    «حرس الحدود» بينبع يحبط تهريب (3.6) كجم "حشيش"    نائب أمير الشرقية يعزي أسرة الثميري في وفاة والدتهم    خطباء المملكة الإسراف في الموائد منكر وكسر لقلوب الفقراء والمساكين    وفاة الفنان المصري سليمان عيد إثر تعرضه ل"أزمة قلبية"    إمام المسجد الحرام: الدنيا دار ابتلاء والموت قادم لا محالة فاستعدوا بالعمل الصالح    وزارة الرياضة ومجمع الملك سلمان للغة العربية يطلقان "معجم المصطلحات الرياضية"    إمام المسجد النبوي: التوحيد غاية الخلق وروح الإسلام وأساس قبول الأعمال    خالد بن محمد بن زايد يشهد حفل افتتاح متحف "تيم لاب فينومينا أبوظبي" للفنون الرقمية في المنطقة الثقافية في السعديات    تعاون بناء بين جامعة عفت واتحاد الفنانين العرب    محافظ صامطة يلتقي قادة جمعيات تخصصية لتفعيل مبادرات تنموية تخدم المجتمع    جامعة شقراء تنظم اليوم العالمي للمختبرات الطبية في سوق حليوة التراثي    إعاقة الطلاب السمعية تفوق البصرية    صعود مؤشرات الأسهم اليابانية    مجلس الأمن يدعو إلى وقف دائم لإطلاق النار وعملية سياسية شاملة في السودان    رسوم ترمب الجمركية ..التصعيد وسيناريوهات التراجع المحتملة    تشيلسي الإنجليزي يتأهل للمربع الذهبي بدوري المؤتمر الأوروبي    قتيلان في إطلاق نار في جامعة في فلوريدا    في توثيقٍ بصري لفن النورة الجازانية: المهند النعمان يستعيد ذاكرة البيوت القديمة    وزير الدفاع يلتقي أمين المجلس الأعلى للأمن القومي الإيراني    نائب أمير منطقة جازان يضع حجر أساسٍ ل 42 مشروعًا تنمويًا    معرض اليوم الخليجي للمدن الصحية بالشماسية يشهد حضورا كبيراً    24 ألف مستفيد من خدمات مستشفى الأسياح خلال الربع الأول من 2025    تجمع القصيم الصحي يدشّن خدمة الغسيل الكلوي المستمر (CRRT)    مشاركة كبيرة من عمداء وأمناء المدن الرياض تستضيف أول منتدى لحوار المدن العربية والأوروبية    قطاع ومستشفى تنومة يُنفّذ فعالية "التوعية بشلل الرعاش"    يوم الأسير الفلسطيني.. قهرٌ خلف القضبان وتعذيب بلا سقف.. 16400 اعتقال و63 شهيدا بسجون الاحتلال منذ بدء العدوان    5 جهات حكومية تناقش تعزيز الارتقاء بخدمات ضيوف الرحمن    "التعليم" تدشن مشروع المدارس المركزية    بقيمة 50 مليون ريال.. جمعية التطوع تطلق مبادرة لمعرض فني    معركة الفاشر تقترب وسط تحذيرات من تفاقم الكارثة الإنسانية.. الجيش يتقدم ميدانيا وحكومة حميدتي الموازية تواجه العزلة    الاتحاد الأوروبي يشدد قيود التأشيرات على نهج ترامب    القيادة تعزي ملك ماليزيا في وفاة رئيس الوزراء الأسبق    قيود أمريكية تفرض 5.5 مليارات دولار على NVIDIA    قوات الدعم السريع تعلن حكومة موازية وسط مخاوف دولية من التقسيم    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



البرنامج الخبيث «ريجن» تجسسي من الدرجة الأولى يراقب الحواسيب بطريقة خفية
24% نسبة الإصابة في المملكة
محمد المخلفي نشر في الرياض يوم 28 - 11 - 2014

كشف في الأيام الأخيرة الماضية برمجية خبيثة متقددمة تعرف باسم "ريجن" تقوم بحملة تجسس ممنهجة ضد بعض الأهداف حول العالم منذ عام 2008. و"ريجن" هي أحد أنواع برمجيات حصان طروادة (تروجان)، وتعتبر برمجيةً خبيثة معقدة تُظهر بنيتها درجة قلَّ مثيلها من الكفاءة التقنية، كما يمكن تخصيصها بطيفٍ واسع من الإمكانيات تبعاً لطبيعة الجهة المستهدفة. حيث توفر لمن يتحكم بها إطار عمل قوي لعمليات المراقبة الواسعة النطاق، وقد تم استخدامها في عمليات تجسس ضد منظمات حكومية ومشغلي البنية التحتية والشركات والأفراد المستقلين.
ومن المرجح أن تكون عملية تطوير هذه البرمجية الخبيثة قد استمرت أشهراً عديدة، إن لم تكن سنوات، حتى اكتملت وأن مبرمجيها قد بذلوا جهداً كبيراً لإخفاء آثارها. كما أن قدرات برمجية "ريجن" وحجم الموارد التي استهلكها تطويرها يشيران إلى أنها إحدى أدوات التجسس الإلكتروني الأساسية التي تُستخدَم من قبل دول.
ومن خلال ورقة البحث التقنية التي قدمتها سيمانتك فإن برمجية "ريجن" الخفية عبارةُ عن تهديد متعدد المراحل وكل مرحلة من مراحله مخفية ومشفرة، باستثناء المرحلة الأولى. حيث يطلِق تشغيل المرحلة الأولى سلسلة دومينو من عمليات فك تشفير وتحميل كل مرحلة من المراحل التالية بصورة تتابعية وبما مجموعه خمس مراحل إجمالاً. وتقدم كل مرحلة بحد ذاتها قليلاً من المعلومات حول الرزمة البرمجية الخبيثة بأكملها، ولا يمكن تحليل وفهم طبيعة هذا التهديد إلا بامتلاك وفك تشفير المرحلة الخامسة.
وتستخدم برمجية "ريجن" أيضاً أسلوباً يقوم على وحدات معيارية يسمح لها بتحميل ميزات مفصلة خصيصاً لإصابة الهدف المرغوب. وقد تمت مشاهدة هذا النمط من الأساليب القائمة على وحدات معيارية في السابق في عائلات برمجيات خبيثة ك "فلايمر" و"ويفل" (القناع)، أما البنية التي تعتمد على التحميل متعدد المراحل فقد شوهد مثيل لها في عائلة "دوغو"/"ستكسنت".
وتمت ملاحظة حالات الإصابة ببرمجية "ريجن" في مجموعة متنوعة من المنظمات بين عامي 2008 و2011، تم سحبها بصورة مفاجئة، وقد عادت نسخة جديدة من هذه البرمجية الخبيثة إلى الظهور مجدداً اعتباراً من عام 2013. أما قائمة الجهات المستهدفة فقد شملت شركات خاصة ومؤسسات حكومية ومراكز أبحاث، حيث استهدف أكثر من 50% من حالات العدوى أفراداً وشركات صغيرة، في حين أن الهجمات على شركات الاتصالات صُممت على ما يبدو للسماح بالنفاذ إلى المكالمات التي يتم توجيهها عبر بنيتها التحتية.
كما تنتشر حالات الإصابة في مناطق جغرافية متنوعة، وقد تم التعرف على حالات من هذا القبيل في عشر دول مختلفة، حيث كانت روسيا 28% والمملكة 24% والمكسيك وايرلندا بنسبة 9% لكل منهما، والهند وأفغانستان وايران وبلجيكا واستراليا وباكستنا بنسبة 5% لكل منهم.
وتختلف نواقل العدوى باختلاف الأهداف ولم يتم التعرف حتى إعداد هذا التقرير على أي ناقل يمكن إعادة إنتاجه، وتعتقد "سيمانتك" أن بعض الأهداف من الممكن أن يكونوا قد خُدعوا بزيارة نسخ مزيفة من مواقع معروفة ليتم تنصيب البرمجية من خلال متصفح إنترنت أو من خلال استغلال تطبيق ما، كما أن ملفات السجلات في أحد الحواسيب المستهدفة أظهرت أن برمجية "ريجن" دخلت إلى النظام عبر برنامج ياهو للرسائل الفورية "ياهو! إنستانت ماسنجر" من خلال استغلال ثغرة غير مؤكدة.
وتستخدم برمجية "ريجن" أسلوباً يعتمد على وحدات معيارية، وهو ما يمنح مشغليها مرونة تسمح لهم بتحميل ميزات مفصلة خصيصاً لكل هدف على حدة عند الحاجة. وتعتبر بعض الحمولات المخصصة متقدمةً للغاية وتعكس خبرات عالية في قطاعات فائقة التخصص، مما يشكل دليلاً إضافياً على ضخامة الموارد الموضوعة بتصرف من قاموا بكتابة برمجية "ريجن".
وهناك عشرات الصيغ لحمولات "ريجن"، حيث تشمل القدرات القياسية لهذه البرمجية الخبيثة عدة خصائص معروفة لبرمجيات حصان طروادة (تروجان) الخاصة بالدخول عن بعد (RAT)، كالتقاط صور للشاشة، التحكم بوظائف التوجيه والنقر الخاصة بفأرة الحاسب، سرقة كلمات السر، مراقبة حركة المرور عبر الشبكة واستعادة الملفات المحذوفة. وذلك ناهيك عن اكتشاف نماذج حمولات أكثر تقدماً وتخصصاً كمراقبة حركة بيانات مخدَم الويب الخاص بخدمات معلومات الإنترنت من مايكروسوفت (ISS) وتتبع حركة البيانات الخاصة بإدارة التحكم بالمحطة الأساسية للهاتف المتحرك.
وبذل مطورو برمجية "ريجن" جهوداً لا يستهان بها لجعلها على أكبر قدر ممكن من الغموض، فطبيعتها الخفية تعني أنه من الممكن استخدامها في حملات تجسس تستمر سنوات عديدة، وحتى عند اكتشاف وجودها فمن الصعب جداً التأكد مما تقوم به، بحيث أن "سيمانتك" لم تتمكن من تحليل الحمولات إلا بعد أن قامت بفك تشفير عينات من الملفات.
وتمتلك برمجية "ريجن" عدداً من خصاص "الخفاء" تشمل: قدرات مضادة لعمليات البحث والتحقيق، نظام ملفات افتراضي مشفر (EVFS) مصمم خصيصاً لها وتشفير بديل يعتمد أحد أشكال "RC5" التي لا تستخدم عادةً. كما تستخدم "ريجن" عدة أساليب معقدة للتواصل بشكل خفي مع المهاجم بما في ذلك الاستماع لحزم الارتداد الخاصة ببروتوكول رسائل التحكم بالإنترنت (ICMP/ping)، دمج التعليمات في ملفات ارتباط HTTP، وبروتوكولات مخصصة للتحكم بالبث (TCP) ولمخطط بيانات المستخدم (UDP).
وتمثل برمجية "ريجن" تهديداً على درجة عالية من التعقيد والتقدم تم استخدامه في عمليات ممنهجة لجمع البيانات أو حملات جمع المعلومات الاستخباراتية. وقد تطلبت عملية تطوير وتشغيل هذه البرمجية الخبيثة استثمارات كبيرة من حيث الوقت والموارد مما يشير إلى أن دولةً ما تقف خلفها. ويسمح تصميم هذه البرمجية لها بأن تكون مناسبة للغاية لعمليات المراقبة المستمرة والطويلة الأمد ضد الأهداف المعنية.
هذا ويبرِز اكتشاف برمجية "ريجن" بوضوح حجم الاستثمارات الضخمة التي لا زالت توظف في تطوير أدوات تُستخدَم في جمع المعلومات الاستخباراتية، كما تعتقد شركة "سيمانتك" أن الكثير من مكونات برمجية "ريجن" لا تزال غير مكتشَفة وقد تكون وظائف إضافية لها أو نسخ أخرى منها لا تزال قيد الاستخدام، لذلك فإن عمليات التحليل لا تزال جاريةً.

انقر هنا لقراءة الخبر من مصدره.