کمیته رکن چهارم – رجین (Regin) یکی از آخرین ابزارهای جاسوسی سایبری می باشد که طیف وسیعی از سازمانها، شرکتها و افراد را در سراسر دنیا مورد هدف قرار داده است. این بد افزار دارای ساختاری بسیار پیچیده است و می توان آن را هم رده جاسوس افزارهای دوکو، استاکس نت، یوروبوروس و شعله قلمداد کرد.
کارشناسان مدت زمان زیادی در مورد این روتکیت (Rootkit) مطالعه و تحقیق کرده اند. اولین نسخه رجین در مارس ۲۰۰۹ توسط جی دیتا شناسایی شد.
paul@gdata:~/regin$ ./pescanner.py b12c7d57507286bbbe36d7acf9b34c22c96606ffd904e3c23008399a4a50c047
Meta-data
================================================================================
File: b12c7d57507286bbbe36d7acf9b34c22c96606ffd904e3c23008399a4a50c047
Size: ۱۲۶۰۸ bytes
Type: PE32 executable (native) Intel 80386, for MS Windows
MD5: ffb0b9b5b610191051a7bdf0806e1e47
SHA1: ۷۵a9af1e34dc0bb2f7fcde9d56b2503072ac35dd
ssdeep:
Date: ۰x486CBA19 [Thu Jul ۳ ۱۱:۳۸:۰۱ ۲۰۰۸ UTC]
EP: ۰x103d4 .text 0/4
برخی منابع بر این عقیده هستند که ریشه این جاسوس افزار به سال ۲۰۰۳ بر می گردد اما اتفاق نظر بر روی این موضوع وجود ندارد، ولی به طور قطع فعالیت آن از سال ۲۰۰۹ شروع شده است.
ابزار شناسایی متن باز ارائه شده توسط G DATA:
کارشناسان مشخص کردند که در رجین از یک فایل سیستم مجازی رمز شده استفاده می گردد. نسخه ذکر شده در بالا، سیستم فایلی از یک فایل .evt جعلی در مسیر %System%\config است. هدر فایل سیستم مجازی همواره یکسان می باشد.
ypedef struct _HEADER {
uint16_t SectorSize;
uint16_t MaxSectorCount;
uint16_t MaxFileCount;
uint8_t FileTagLength;
uint16_t crc32custom;
}
در فرایند تجزیه و تحلیل ها، ما از روش کنترلCRC32 استفاده کرده ایم. یک روش ساده برای تشخیص کامپیوترآلوده، بررسی وجود سیستم فایلی مجازی با استفاده از روش کنترلCRC32 در ابتدای سیستم فایل است.
اسکریپت پایتون مورد نظر را می توانید از انتهای این متن دانلود کنید.
قربانیان رجین:
تا این لحظه، رجین در ۱۴ کشور زیر قربانی گرفته است:
الجزایر
افغانستان
بلژیک
برزیل
فیجی
آلمان
ایران
هندوستان
اندونزی
کیریباتی
مالزی
پاکستان
روسیه
سوریه
از جمله قربانیان برجسته رجین، شرکت Belgacom ، یک شرکت مخابراتی بزرگ بلژیک می باشد. در سال ۲۰۱۳ این شرکت اظهار داشت که مورد حمله هکرها قرار گرفته است اما هیچوقت جزییات آن را منتشر نکرد. Ronald Prins از شرکت FOX-IT که در بررسی مورد Belgacom نقش بسزایی داشته، در صفحه توییتر خود اظهار داشته است که عامل هک شدن Belgacom بدافزار رجین بوده است.
در مقاله ای که توسط مجله Intercept منتشر شد، نه تنها عامل هک شدن Belgacom بدافزار رجین ذکر گردید، بلکه قربانی احتمالی رجین را اتحادیه اروپا قلمداد کرده است.
نتیجه گیری:
رجین را می توان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن می باشد توصیف کرد. انتساب این بدافزار به گروه یا کشوری خاص، کار دشواری است. اما با توجه به پیچیدگی آن، گمان بر این است که این پروژه توسط یک دولت پشتیبانی می شود. با در نظر گرفتن اطلاعات موجود، عقیده ما بر این است که رجین از روسیه و یا چین نشات نگرفته است.
لینک دانلود ابزار شناسایی رجین: regin-detect.py
منبع : شرکت آرکا سامانه
