هفدهم ژانویه سال 2015، پورتال یا هفته‌نامه خبری اشپیگل(Spiegel.de) مقاله جامعی بر اساس اسنادی از Edward Snowden (متخصص و افشاگر امنیتی سرشناس) منتشر نمود. در همان زمان نمونه بدافزاری که QWERTY نامگذاری شده بود و در عملیات فوق سری نظیر  CNE مورد استفاده قرار میگرفت را ارائه نمودند که اخیراً کارشناسان امنیتی کسپرسکی با بررسی این بدافزار به حقایق جدیدی دست یافتند.

کارشناسان شرکت امنیتی کسپرسکی ضمن بررسی نسخه  منتشر شده این بدافزار از سوی اشپیگلملاحظه نمودند که کدهای مخرب این بدافزار بشکل عجیبی ساختار و کدهای بدافزار سرشناس رجین را برای آنها تداعی می‌نماید. با بررسی دقیق تر این کد، این کارشناسان پی بردند که عملکرد این بدافزار دقیقاً مشابه پلاگین رجین 50251 است.

با بررسی این کدها که براحتی در تصویر زیر نیز قابل مشاهده است، کدهای مشترک این دو بدافزار یا ماژول را میتوان ملاحظه نمود:

قسمت عمده این کدها مربوط به عملیاتی میشود که به صفحه کلید مربوط میشود که همین دال بر این است که ماهیت اصلی این بدافزارها بویژه QWERTY، keylogger میباشد

بخش عمده کامپوننت‌های QWERTY پلاگین‌های همان دسته را فرامی‌خوانند (پلاگین های 20121 تا 20123)، و بخشی نیز به پلاگین‌هایی از پلتفرم رجین اشاره دارد. بخشی از کد نیز در ماژول Qwerty 20123 و همتایش یعنی پلاگین 50251 از رجین استفاده شده است که در فایل سیستم‌های مجازی رجین یافت میشوند. لازم به ذکر است، برا اساس این بررسی‌ها فعالیت اصلی پلاگین 50225 از رجین نفوذ به پلتفرم ها و اعمال تغییراتی در سطح کرنل است.  

این کدها و بررسی ها در وهله‌ی اول ثابت کرد که پلاگین Qwerty تنها تحت پلتفرم رجین و وابسته به عملیات hooking یا تغییراتی که توسط پلاگین 50225 این بدافزارمیتواند عمل نماید.

بعنوان مدرکی دیگر مبنی بر اینکه هر دوی این ماژولها از یک پلتفرم نرم افزاری استفاده می‌نمایند میتوان به یافته‌هایی بر اساس خروجی دستورات این ماژولها اشاره کرد که هر دو حاوی کد startup یا آغازی بودند که در پلاگینهای دیگر رجین استفاده یافت می شوند و حاوی کد پلاگینی است که در داخل پلتفرم‌ها ثبت شده اند و بعبارتی عملکرد نهایی این ماژول ها تنها در صورتی معنا پیدا میکند که آنها با یک سازمان دهنده یا orchestrator از پلتفرم رجین مورد استفاده قرار گیرند.

نتیجه

طی بررسی نمونه بدافزار QWERTY که از سوی اشپیگل منتشر شده بوده است کارشناسان کسپرسکی به این موضوع پی بردند که بدافزار QWERTY که نوعی keylogger است نمیتوانسته به عنوان ماژولی مستقل فعالیت کند و در واقع افزونه یا پلاگینی برای بدافزار رجین بوده و فعالیت اصلی آن بر اساس عملیات نفوذ در سطح کرنل (kernel hooking functions) میباشد که در ماژول 50225 از رجین میباشد. در نتیجه با توجه به پیچیدگی کدهای پلتفرم رجین و این نکته که هیچ فردی نمیتواند بدون دسترسی به سورس کدهای آن نمونه ای یا مشابهی از آن را بنویسد و منتشر کند، نویسندگان این دو بدافزار یک تیم بوده یا با یکدیگر همکاری کرده اند. همچنین لازم به ذکر است که منابع گوناگونی سازندگان بدافزار QWERTY را فایو-آیز معرفی نمودند که البته هنوز هیچ شواهد موثقی از سوی این منابع خبری در این خصوص ارائه نگردیده است.