رجین را میتوان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد.
گزارش شرکت جی دیتا
رجین، ابزار جاسوسی قدیمی اما پیچیده
شرکت آرکا سامانه , 11 آذر 1393 ساعت 18:13
رجین را میتوان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد.
رجین را میتوان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، رجین یکی از آخرین ابزارهای جاسوسی سایبری است که طیف وسیعی از سازمانها، شرکتها و افراد را در سراسر دنیا مورد هدف قرار داده است. این بدافزار دارای ساختاری بسیار پیچیده است و میتوان آن را همرده جاسوسافزارهای دوکو، استاکس نت، یوروبوروس و شعله قلمداد کرد.
کارشناسان جی دیتا، زمان زیادی در مورد این روتکیت (Rootkit) مطالعه و تحقیق کردهاند. اولین نسخه رجین در مارس ۲۰۰۹ توسط جی دیتا شناسایی شد.
برخی منابع بر این عقیده هستند که ریشه این جاسوسافزار به سال ۲۰۰۳ بر میگردد، هرچند بر روی این موضوع اتفاق نظر وجود ندارد ولی بهطور قطع فعالیت آن از سال ۲۰۰۹ شروع شده است.
کارشناسان جی دیتا مشخص کردند که در رجین از یک فایل سیستم مجازی رمز شده استفاده میشود. نسخه ذکر شده در بالا، سیستم فایلی از یک فایل .evt جعلی در مسیر %System%\config است. هدر فایل سیستم مجازی همواره یکسان است.
ypedef struct _HEADER {
uint۱۶_t SectorSize;
uint۱۶_t MaxSectorCount;
uint۱۶_t MaxFileCount;
uint۸_t FileTagLength;
uint۱۶_t crc۳۲custom;
}
ما در فرایند تجزیه و تحلیلها از روش کنترل CRC۳۲ استفاده کردهایم. یک روش ساده برای تشخیص کامپیوترآلوده، بررسی وجود سیستم فایلی مجازی با استفاده از روش کنترلCRC۳۲ در ابتدای سیستم فایل است. اسکریپت پایتون مورد نظر را میتوانید از انتهای این مطلب دانلود کنید.
تا این لحظه، رجین در ۱۴ کشور زیر قربانی گرفته است: الجزایر، افغانستان، بلژیک، برزیل، فیجی، آلمان، ایران، هندوستان، اندونزی، کیریباتی، مالزی، پاکستان، روسیه، سوریه.
از جمله قربانیان برجسته رجین، شرکت Belgacom ، یک شرکت مخابراتی بزرگ بلژیک است. در سال ۲۰۱۳ این شرکت اظهار داشت که مورد حمله هکرها قرار گرفته است اما هیچوقت جزییات آن را منتشر نکرد. Ronald Prins از شرکت FOX-IT که در بررسی مورد Belgacom نقش بسزایی داشته، در صفحه توییتر خود اظهار کرده که عامل هک شدن Belgacom بدافزار رجین بوده است. در مقالهای که توسط مجله Intercept منتشر شد، نه تنها عامل هک شدن Belgacom بدافزار رجین ذکر شد بلکه قربانی احتمالی رجین را اتحادیه اروپا قلمداد کرده است.
رجین را میتوان به عنوان بهترین پلت فرم جاسوسی سایبری که هدف آن به دست گرفتن کنترل از راه دور و نظارت بر تمام سطوح ممکن است، توصیف کرد. انتساب این بدافزار به گروه یا کشوری خاص، کار دشواری است اما با توجه به پیچیدگی آن، گمان بر این است که این پروژه توسط یک دولت پشتیبانی میشود. با در نظر گرفتن اطلاعات موجود، عقیده ما بر این است که رجین از روسیه و یا چین نشات نگرفته است.
لینک دانلود ابزار شناسایی رجین: regin-detect.py
کد مطلب: 8722