بدافزار سازمان امنیت ملی آمریکا که برای “ثبت صفحه کلید” یا Keylogging مورد استفاده قرار می گرفته، احتمالا بخشی از عملیات جاسوسی بوده که با مشارکت سازمان های امنیتی انگلیس، کانادا، استرالیا و نیوزیلند انجام می شده. این بدافزار که نام QWERTY بر روی آن گذاشته شده، جزو فایلهایی است که اخیراً توسط Edward Snowden، افشاگر مشهور آمریکایی، در اختیار روزنامه نگاران قرار گرفت و توسط نشریه Der Spiegel افشا گردید تا توان بدافزارنویسی و پیچیدگی عملیات سایبری این دولتها را نشان دهد.
شرکت ضدویروس Kaspersky با به دست آوردن نمونه ای از فایل QWERTY از طریق نشریه Der Spiegel اقدام به تجزیه و تحلیل آن کرد. در همان اولین بررسی ها مشخص شد که عملکرد بدافزار QWERTY کاملا مشابه عملکرد بخشی از بدافزار Regin تحت نام Regin-50251 است که بصورت افزونه (plugin) به بدنه اصلی بدافزار Regin متصل می گردد.
همچنین مشخص گردید که هر دو افزونه QWERTY و Regin-50251 وابسته به بخش دیگری از بدافزار Regin تحت نام Regin-50225 هستند که وظیفه ارتباط با هسته اصلی (Kernel) سیستم قربانی را برعهده دارد تا بدافزار بتواند با حداکثر امکانات از دید ابزارهای امنیتی مخفی بماند.
اینها دلایل قوی برای اثبات وابستگی QWERTY به بدافزار Regin است. با توجه به پیچیدگی بدافزار Regin امکان بازسازی و کپی برداری از این بدافزار، بدون دسترسی به برنامه (source) آن، تقریباً غیرممکن و غیرعملی است. لذا می توان نتیجه گرفت که سازندگان بدافزار QWERTY و سازندگان بدافزار Regin یکی هستند و یا با یکدیگر مشارکت بسیار نزدیکی دارند.
نشریه آلمانی Der Spiegel بر اساس نام توابع CNELib و WzowskiLib که در بدافزار QWERTY شناسایی شده، این بدافزار را یک افزونه مخرب و قابل استفاده بر روی یک “بستر یکپارچه بدافزاری” به نام WARRIOR-PRIDE می داند که توسط سازمان های امنیتی پنج کشور آمریکا، انگلیس، کانادا، استرالیا و نیوزیلند طراحی و تهیه شده است.
بعلاوه، در یک مدرک محرمانه از سازمان امنیت ملی کشور کانادا که اخیراً افشا شده است، به WARRIOR-PRIDE بعنوان یک بستر منعطف برای سوء استفاده از شبکه های کامپیوتری یا Computer Network Exploitation – CNE اشاره شده که مبتنی بر WZOWSKI، نرم افزار مورد استفاده سازمان های امنیتی این پنج کشور، طراحی و تهیه شده است.
در این مدرک افشا شده، آمده است که GCHQ، مرکز شنود و جاسوسی دولت انگلیس، از نام DAREDEVIL برای بستر مخرب WARRIOR-PRIDE استفاده می کند و قادر است مانند دولتهای آمریکا و کانادا، بدافزارهایی بصورت افزونه با قابلیت اجرا بر روی بستر مخرب WARRIOR-PRIDE تهیه و منتشر نماید.
بدین ترتیب با کشف ارتباط بین بدافزار QWERTY و Regin به نظر می رسد که بدافزاری که کارشناسان ضدویروس تا بحال با نام Regin آنرا می شناختند، همان بستر مخرب WARRIOR-PRIDE است که بدافزارهای دیگر قابل انتشار، اجرا و مدیریت بر روی آن می باشند.
از اوایل تابستان سال جاری تاکنون هیچگونه آلودگی جدید به بدافزار Regin مشاهده نشده است. احتمال داده می شود که با افشای فعالیت این بدافزار و توجه رسانه ها و شرکتهای امنیتی به آن، گردانندگان Regin تصمیم گرفته باشند تا Regin را بطور کامل از بین ببرند و یا آنرا بطور اساسی مورد بازنگری قرار دهند.