سازندگان «رجین» شناسایی شدند

پس از گذشت چندماه از افشا و کشف رجین، پیچیده‌ترین و هوشمند‌ترین بد‌افزار جاسوسی جهان، کسپرسکی و تحلیلگران آن با آزمایش کد این بد‌افزار موفق به کشف یک پلاگین از بد‌افزار «رجین» شده‌اند که در واقع یک Keylogger با نام QWERTY است و از کدی استفاده می‌کند که توسط اتحاد اطلاعاتی Five Eyes تولید شده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تحلیلگران شرکت امنیتی کسپرسکی از راز بد‌افزار رجین پرده برداشته و سازندگان آن را افشا کرده‌اند. کاستین رایو و ایگور سومنکوف، دو تن از تحلیلگران کسپرسکی، موفق به کشف یک پلاگین از بد‌افزار «رجین» شده‌اند که در واقع یک Keylogger با نام QWERTY است و از کدی استفاده می‌کند که توسط اتحاد اطلاعاتی Five Eyes تولید شده است. 

به عقیده کارشناسان کسپرسکی ‌پلاگین QWERTY تنها به عنوان بخشی از پلتفرم رجین قابلیت عملکرد دارد و هر دو بد‌افزار از یک پلتفرم نرم‌افزاری یکسان استفاده می‌کنند. QWERTY به تنهایی قادر به فعالیت ‌نبوده و عملکرد آن ‌بستگی زیادی به پلتفرم رجین دارد.

بد‌افزار QWERTY که پروژه آن چندی پیش از سوی ادوارد اسنودن افشاگری شد، یک Keylogger است که در حکم پلاگین برای بد‌افزار WARRIORPRIDE استفاده می‌شده و بد‌افزاری مخصوص iOS و اندروید و بخشی از پروژه جاسوسی NSA بوده است.

این پلاگین طراحی شده توسط نهاد اطلاعاتی ‌با نام Five Eyes ‌متشکل از پنج کشور‌ ایالات متحده، کانادا، انگلستان، استرالیا و نیوزیلند است که طی یک توافق‌نامه‌‌ چند‌جانبه به همکاری اطلاعاتی با یکدیگر می‌پردازند. ریشه این اتحاد اطلاعاتی را باید در جنگ جهانی دوم و در حین امضای منشور آتلانتیک جستجو کرد. طی جنگ سرد سیستم جاسوسی ECHELON از سوی این اتحادیه اطلاعاتی برای جاسوسی و رصد ارتباطات شوروی سابق و بلوک شرق تشکیل شد که البته بعد از جنگ سرد نیز منجر به شنود و رصد ارتباطات خصوصی میلیارد‌ها شهروند دیگر از سراسر جهان شد.

حال با افشاگری کسپرسکی از کد QWERTY و شباهت‌های دقیق آن با بد‌افزار رجین و همچنین وابستگی این بد‌افزار به رجین، مشخص می‌شود که سازندگان رجین نیز همین اتحاد اطلاعاتی Five Eyes هستند که از مدت‌ها پیش مشغول جاسوسی در سراسر دنیا بوده‌اند و اسنودن در ۲۰۱۳ اطلاعات آن‌ها را افشا کرد.

کارشناسان شرکت امنیتی کسپرسکی ضمن بررسی نسخه منتشر شده این بدافزار از سوی اشپیگل متوجه شدند که کدهای مخرب این بدافزار به شکل عجیبی ساختار و کدهای بدافزار سرشناس رجین را برای آن‌ها تداعی می‌کند و با بررسی دقیق‌تر این کد به شباهت بسیار زیاد عملکرد این بدافزار با پلاگین رجین ۵۰۲۵۱ پی بردند.
با بررسی این کدها که به راحتی در تصویر زیر نیز قابل مشاهده است، کدهای مشترک این دو بدافزار یا ماژول را می‌توان ملاحظه کرد: 

قسمت عمده این کدها مربوط به عملیاتی مرتبط با صفحه کلید می‌شود که همین دال بر این است که ماهیت اصلی این بدافزارها به‌ویژه QWERTY keylogger است. بخش عمده کامپوننت‌های QWERTY پلاگین‌های همان دسته را فرامی‌خوانند (پلاگین های ۲۰۱۲۱ تا ۲۰۱۲۳) و بخشی نیز به پلاگین‌هایی از پلتفرم رجین اشاره دارد. بخشی از کد نیز در ماژول Qwerty ۲۰۱۲۳ و همتایش یعنی پلاگین ۵۰۲۵۱ از رجین استفاده شده است که در فایل سیستم‌های مجازی رجین یافت می‌شوند. براساس این بررسی‌ها فعالیت اصلی پلاگین ۵۰۲۲۵ از رجین نفوذ به پلتفرم‌ها و اعمال تغییراتی در سطح کرنل است.

این کدها و بررسی ها در وهله‌ی اول ثابت کرد که پلاگین Qwerty تنها تحت پلتفرم رجین و وابسته به عملیات hooking یا تغییراتی که توسط پلاگین ۵۰۲۲۵ این بدافزارمی‌تواند عمل کند. به عنوان مدرکی دیگر مبنی بر استفاده هر دوی این ماژول‌ها از یک پلتفرم نرم افزاری می‌توان به یافته‌هایی بر اساس خروجی دستورات این ماژول‌ها اشاره کرد که هر دو حاوی کد startup یا آغازی بودند که در پلاگین‌های دیگر رجین استفاده می‌شوند و حاوی کد پلاگینی است که در داخل پلتفرم‌ها ثبت شده‌اند و به عبارتی عملکرد نهایی این ماژول‌ها تنها در صورتی معنا پیدا می‌کند که آن‌ها با یک سازمان دهنده یا orchestrator از پلتفرم رجین مورد استفاده قرار گیرند.

با بررسی نمونه بدافزار QWERTY که از سوی اشپیگل منتشر شده بوده است کارشناسان کسپرسکی به این موضوع پی بردند که بدافزار QWERTY که نوعی keylogger است نمی‌توانسته به عنوان ماژولی مستقل فعالیت کند و در واقع افزونه یا پلاگینی برای بدافزار رجین بوده و فعالیت اصلی آن بر اساس عملیات نفوذ در سطح کرنل (kernel hooking functions) است که در ماژول ۵۰۲۲۵ از رجین است. در نتیجه با توجه به پیچیدگی کدهای پلتفرم رجین و این نکته که هیچ فردی نمی‌تواند بدون دسترسی به سورس کدهای آن، نمونه‌ یا مشابهی از آن را بنویسد و منتشر کند، نویسندگان این دو بدافزار یک تیم بوده یا با یکدیگر همکاری کرده‌اند.

منابع گوناگونی Five Eyes را به عنوان سازندگان بدافزار QWERTY معرفی کرده‌اند که البته هنوز هیچ شواهد موثقی از سوی این منابع خبری در این مورد ارائه نشده است.

بد‌افزار«رجین» که پس از استاکس نت و دوکو، شناسایی و به عقیده کارشناسان از هر دوی آن‌ها پیچیده‌تر است، نخستین بار در ماه نوامبر سال میلادی ۲۰۱۴ توسط سمانتک و کسپرسکی کشف شد. کد هوشمند رجین در ردیف یکی از پیچیده‌ترین و ‌نفوذ‌ترین‌ناپذیرترین کدهای مخرب شناسایی و رده‌بندی شده است. این بد‌افزار به مدت ۶سال از چندین کشور بزرگ دنیا از جمله ایران جاسوسی می‌کرده ‌و با کد هوشمند خود توانسته ‌ به خوبی را درتمام این مدت مخفی نگاه دارد.