رجین، ابزار جاسوسی قدیمی اما پیچیده

رجین را می‌توان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، رجین یکی از آخرین ابزارهای جاسوسی سایبری است که طیف وسیعی از سازمان‌ها، شرکت‌ها و افراد را در سراسر دنیا مورد هدف قرار داده است. این بدافزار دارای ساختاری بسیار پیچیده است و می‌توان آن را هم‌رده جاسوس‌افزارهای دوکو، استاکس نت، یوروبوروس و شعله قلمداد کرد.

کارشناسان جی دیتا، ‌زمان زیادی در مورد این روتکیت (Rootkit) مطالعه و تحقیق کرده‌اند. اولین نسخه رجین در مارس ۲۰۰۹ توسط جی دیتا شناسایی شد. برخی منابع بر این عقیده هستند که ریشه این جاسوس‌افزار به سال ۲۰۰۳ بر می‌گردد، هرچند بر روی این موضوع اتفاق نظر وجود ندارد ولی به‌طور قطع فعالیت آن از سال ۲۰۰۹ شروع شده است.

کارشناسان جی دیتا مشخص کردند که در رجین از یک فایل سیستم مجازی رمز شده استفاده می‌شود. نسخه ذکر شده در بالا، سیستم فایلی از یک فایل .evt جعلی در مسیر %System%\config است. هدر فایل سیستم مجازی همواره یکسان است.

ypedef struct _HEADER {
uint۱۶_t SectorSize;
uint۱۶_t MaxSectorCount;
uint۱۶_t MaxFileCount;
uint۸_t FileTagLength;
uint۱۶_t crc۳۲custom;
}
ما در فرایند تجزیه و تحلیل‌ها از روش کنترل CRC۳۲ استفاده کرده‌ایم. یک روش ساده برای تشخیص کامپیوترآلوده، بررسی وجود سیستم فایلی مجازی با استفاده از روش کنترلCRC۳۲ در ابتدای سیستم فایل است. اسکریپت پایتون مورد نظر را می‌توانید از انتهای این مطلب دانلود کنید.

تا این لحظه، رجین در ۱۴ کشور زیر قربانی گرفته است: الجزایر، افغانستان، بلژیک، برزیل، فیجی، آلمان، ایران، هندوستان، اندونزی، کیریباتی، مالزی، پاکستان، روسیه، سوریه.

از جمله قربانیان برجسته رجین، شرکت Belgacom ، یک شرکت مخابراتی بزرگ بلژیک است. در سال ۲۰۱۳ این شرکت اظهار داشت که مورد حمله هکرها قرار گرفته است اما هیچ‌وقت جزییات آن را منتشر نکرد. Ronald Prins از شرکت FOX-IT که در بررسی مورد Belgacom نقش بسزایی داشته، در صفحه توییتر خود اظهار کرده که عامل هک شدن Belgacom بدافزار رجین بوده است. در مقاله‌ای که توسط مجله Intercept منتشر شد، نه تنها عامل هک شدن Belgacom بدافزار رجین ذکر شد بلکه قربانی احتمالی رجین را اتحادیه اروپا قلمداد کرده است.

رجین را می‌توان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد. انتساب این بدافزار به گروه یا کشوری خاص، کار دشواری است اما با توجه به پیچیدگی آن، گمان بر این است که این پروژه توسط یک دولت پشتیبانی می‌شود. با در نظر گرفتن اطلاعات موجود، عقیده ما بر این است که رجین از روسیه و یا چین نشات نگرفته است.

لینک دانلود ابزار شناسایی رجین: regin-detect.py