انتشرت مؤخرا برمجية خبيثة اسمها «ريغن» (Regin) تهدف إلى التجسس على بيانات الشركات والمؤسسات الكبيرة وسرقتها ورفعها إلى الإنترنت. وتعتبر «ريغن» من أكثر البرمجيات الخبيثة تقدما وكفاءة من الناحية التقنية، ويمكن تخصيص آلية عملها من بين مجموعة واسعة من القدرات وفقا لطبيعة الكومبيوتر المستهدف. وتشير قدرات «ريغن» وحجم الموارد التي احتاجتها إلى أنها قد تكون أداة تجسس أساسية تستخدمها بعض الدول، مستخدمة بنية تقنية شوهد لها مثيل في عائلة «دوغو» (Duqu) و«ستوكس نت» (Stuxnet). وتضم قائمة الجهات المستهدفة الشركات الخاصة والمؤسسات الحكومية ومراكز الأبحاث، بالإضافة إلى شركات الاتصالات للنفاذ إلى المكالمات التي يتم توجيهها عبر بنيتها التحتية.
وبالنسبة للإصابات وفقا للمناطق الجغرافية، فقد لوحظ استهداف روسيا (بنسبة 28 في المائة) والمملكة العربية السعودية (24 في المائة) وآيرلندا (9 في المائة) والمكسيك (9 في المائة) والهند (5 في المائة) وأفغانستان (5 في المائة) وإيران (5 في المائة) وبلجيكا (5 في المائة) والنمسا (5 في المائة) وباكستان (5 في المائة)، بينما لم تسجل أي نسب ملحوظة في الولايات المتحدة الأميركية أو إسرائيل. وتنتقل هذه البرمجية الخبيثة بطرق مختلفة تبعا للطرف المستهدف، ولكن يعتقد أن بعض الأهداف قد خدعت بزيارة نسخ مزيفة من مواقع معروفة تقوم بتثبيت البرمجية الخبيثة داخل الجهاز المستهدف بالخفاء. وسجل كذلك انتقالها عبر ثغرة أمنية في برنامج «ياهو» للدردشة الفورية.
ووفقا لورقة بحث تقنية نشرتها شركة «سيمانتيك» (Symantic) المتخصصة في الأمن الرقمي، تعمل «ريغن» بالخفاء على شكل تهديد متعدد المراحل، كل مرحلة منه مشفرة (مرمزة) باستثناء المرحلة الأولى. وبعد تشغيل المرحلة الأولى منها، تبدأ سلسلة من الأحداث المتتابعة لفك تشفير وتحميل المراحل التالية، وصولا إلى المرحلة الخامسة. ويعمل هذا البرنامج الخبيث على شكل وحدات معيارية منفصلة للعمل بشكل مستقل وإصابة الهدف المرغوب بطرق مختلفة وفقا لكل وحدة.
وتستطيع البرمجية التقاط صور لشاشة المستخدم ونقلها عبر الإنترنت إلى مركز المراقبة، والتحكم بوظائف التوجيه وفأرة الكومبيوتر، وسرقة كلمات السر، ومراقبة حركة مرور الشبكة واستعادة الملفات المحذوفة، ومراقبة حركة بيانات الجهاز الخادم للإنترنت في الطرف المستهدف، ومراقبة بيانات إدارة التحكم باتصال الهواتف الجوالة بالمحطة الأساسية للطرف المستهدف.
ولوحظت الإصابة ببرمجية «ريغن» بين عامي 2008 و2011، لكنها اختفت بصورة مفاجئة من دون سبب محدد، لتعود وتظهر مجددا في عام 2013، وتنتشر الآن. وتشير طبيعة عملها إلى أنها على قدر كبير من الغموض، ومن الممكن استخدامها للقيام بحملات تجسس تستمر لسنوات عديدة. وتطور البرمجية نظام ملفات افتراضيا (EVFS) خاصا بها وتقنية ترميز تعتمد أحد أشكال تقنية «RC5» غير شائعة الاستخدام، بالإضافة إلى استخدام أساليب معقدة للتواصل بشكل خفي مع الطرف المهاجم.
وتعتقد شركة «سيمانتيك» أن الكثير من مكونات «ريغن» لا تزال غير مكتملة، وقد تكون لها وظائف إضافية أو نسخ أخرى لا تزال قيد الاستخدام. وتطلبت عملية تطوير وتشغيل هذه البرمجية الخبيثة استثمارات كبيرة من حيث الوقت والموارد، مما يشير إلى أن دولة ما تقف خلفها لاستخدامها في عمليات ممنهجة لجمع البيانات وحملات جمع المعلومات الاستخباراتية.
وكشف تقرير دولي صادر عن إحدى الشركات المتخصصة في مجال مكافحة القرصنة الإلكترونية استند إلى بيانات تم جمعها من خلال سحابة «FireEye Dynamic Threat Intelligence» أن السعودية هي أكثر دول منطقة الشرق الأوسط وتركيا وأفريقيا استهدافا بالتهديدات الإلكترونية لأمن الشركات في المنطقة. وأوضح التقرير أن السعودية تصدرت القائمة من ضمن خمس دول في عدد هجمات القرصنة الإلكترونية المتقدمة بنسبة 30 في المائة من إجمالي عدد الهجمات المسجلة في النصف الأول من عام 2014، تلتها مباشرة تركيا بنسبة 29.5 في المائة، فقطر بنسبة 16 في المائة، ثم الإمارات بنسبة 7.1 في المائة، فيما حلت الكويت خامسة بنسبة 6.4 في المائة. وأكد التقرير أن الخدمات الحكومية والمالية كانت من أكثر الأهداف الرئيسية لتلك الهجمات، إذ تعرضت لأكثر من 50 في المائة من إجمالي حالات التهديد المتقدمة الثابتة التي تم رصدها.
وأشار التقرير إلى تضاعف هجمات البرمجيات الخبيثة، خصوصا الهجمات المتقدمة ذات الأهداف المحددة، خلال الفترة بين يناير (كانون الثاني) ويونيو (حزيران) 2014، وارتفاع حجم الهجمات المتقدمة ذات الأهداف المحددة إلى ما يقارب الضعف في منطقة الشرق الأوسط وتركيا وأفريقيا في الفترة نفسها. كما لاحظ التقرير زيادة في تدفق البرمجيات الخبيثة في شهر أبريل (نيسان) والتي قد تكون نتيجة لحملة جرائم القرصنة عبر الإنترنت، أو انتشار وسائل الاحتيال على مواقع الإنترنت العامة في ذلك الشهر.
ويذكر أن فيروس «غاوس» (Gauss) كان قد ضرب مصارف منطقة الشرق الأوسط في عام 2012، والذي استطاع التجسس على العمليات المصرفية والحصول على اسم المستخدم وكلمة السر الخاصة به والكثير من المعلومات الشخصية الأخرى، بالإضافة إلى قدرته على مهاجمة البنية التحتية المصرفية، التي يعتقد أنها من صُنع الجهة نفسها التي طورت دودة «ستوكس نت» (Stuxnet) التي هاجمت المفاعلات النووية الإيرانية في عام 2010. وتستطيع هذه الدودة التعرف بشكل دقيق على أي نظام تصيبه، الأمر الذي يعني أنها تبحث عن نظام محدد لتعديله في الوقت مناسب، إذ إنها تفحص عوامل النظام كل 5 ثوان لتقرر إن كان الوقت قد جاء لتبدأ عملها أم لا. ويعتقد الخبراء أنها قادرة على إيقاف نظم التبريد، وزيادة سرعة دوران المحركات بشكل كبير جدا، وإيقاف نظم تسهيل الانزلاق، وبالتالي إيقاف النظام عن العمل عندما تشاء. وعلى الرغم من أن ديدان الكومبيوتر شائعة، فإن هذه الدودة تعتبر سلاحا إلكترونيا تجريبيا يمهد الطريق أمام جيش إلكتروني جديد من نوعه، لتصبح الحرب الحديثة إلكترونية، وضحاياها الكومبيوترات الصناعية، مع احتمال تطوير ديدان تصيب الكومبيوترات المدنية خلال الحرب. ويعتقد أن هذه الدودة كانت «القاتل المأجور» الذي أودى بحياة قمر «إنسات - 4 بي» الصناعي في الهند.