Regin-Malware – Spionage aus USA oder Großbritannien?

Nur in den wenigsten Fällen werden Hacks von betroffenen Unternehmen gemeldet. Die Beweisführung ist zudem teuer und aufwändig und das scheuen viele Anwender. Quelle: Shutterstock

Immer mehr Details zu der Spionage-Software Regin kommen ans Licht. So soll die Software unter anderem auch für eine großangelegte Abhöraktion bei dem belgischen Provider Belgacom eingesetzt worden sein.

Einem Bericht zufolge könnten die Geheimdienste der USA und Großbritanniens hinter der hoch entwickelten Spionagesoftware Regin stehen. Am Wochenende hatte das Sicherheitsunternehmen Symantec die Entdeckung öffentlich gemacht. Das Sicherheitsunternehmen hatte zwar erklärt, dass die Autoren hinter der Software möglicherweise mit staatlichen Infrastrukturen unterstützt wurden, Symantec ließ aber offen, wer hinter dem Schädling stecken könnte. Nun aber berichtet The Intercept unter Berufung auf Aussagen von Sicherheitsexperten sowie technischen Analysen der Malware, dass möglicherweise die USA und Großbritannien für Regin verantwortlich sind. So soll Regin unter anderem gegen Ziele in der Europäischen Union eingesetzt worden sein.

Zu den Zielen gehört unter anderem Belgiens größte Telefongesellschaft Belgacom, zu deren Kunden wiederum die EU-Kommission, der Europarat und das europäische Parlament gehören. Dass der britische Geheimdienst für Angriffe auf Belgacom verantwortlich ist und dafür auch Malware benutzt hat, meldete Der Spiegel im September 2013. Welche Schadsoftware bei dieser Überwachung zum Einsatz kam, war bisher allerdings noch nicht bekannt.

Die 'Einsatzgebiete' der Spionagesoftware 'Regin' laut einer Analyse des Sicherheitsanbieters Kaspersky Labs. (Grafik: Kaspersky Labs)
Die ‘Einsatzgebiete’ der Spionagesoftware ‘Regin’ laut einer Analyse des Sicherheitsanbieters Kaspersky Labs. (Grafik: Kaspersky Labs)

Dem neuen Bericht zufolge ist der britische Geheimdienst Government Communications Headquarters im Rahmen der “Operation Socialist” 2010 gegen Belgacom vorgegangen. Er soll gezielt Ingenieure des Unternehmens auf gefälschte LinkedIn-Profile gelockt haben, über die die Malware verbreitet wurde.

Laut Computerworld teilte Symantec am Montag mit, es habe im Code von Regin keinerlei Hinweise auf seine Herkunft gefunden. “Wir haben keine ausreichenden Beweise, um Regin einem bestimmten Staat oder einer Behörde zuzuordnen”, zitiert Computerworld aus der Stellungnahme von Symantec.

Inzwischen haben auch Kasperky, F-Secure und andere Sicherheitsunternehmen ihre Erkenntnisse über Regin veröffentlicht. “Wir glauben, dass diese Malware zur Abwechslung mal nicht aus Russland oder China kommt”, schreibt Antti Tikkanen, Director of Security Response bei F-Secure, in einem Blogeintrag.

Darauf deuten auch im Code hinterlassene Klarnamen für einzelne Module: “Foggybottom”, “Hopscotch”, “Legspin”, “Salvagerbbit” oder “Starbucks” darf man eher Programmierern aus dem angelsächsischen Sprachraum zuschreiben. Auch die Liste der Opfer – die meisten von ihnen in Europa, Russland und dem Mittleren Osten, keines jedoch in den USA – könnte als Indiz auf westliche Urheberschaft von Regin gelesen werden.

F-Secure ist eine frühe Variante von Regin schon seit 2009 bekannt. Es habe die Malware auf einem Server eines nordeuropäischen Kunden gefunden, der gelegentlich mit einem Blue Screen of Death abgestürzt sei. Ursache sei ein Treiber gewesen, den F-Secure schließlich als Rootkit beziehungsweise frühe Variante von Regin identifiziert habe.

Symantec selbst hatte Regin vor rund einem Jahr entdeckt und die Malware seitdem analysiert. Sie besteht aus mindestens fünf Komponenten, die ein System schrittweise infizieren. Die einzelnen Stufen enthalten demnach wenige Informationen über die gesamte Struktur der Malware. Symantec schließt nicht aus, dass es noch weitere Komponenten von Regin gibt, die noch nicht entdeckt wurden.

Regin besteht aus mehreren Komponenten, die sich mithilfe von Verschlüsselung und Tarntechniken einer Entdeckung durch Sicherheitssoftware entziehen (Bild: Symantec).
Regin besteht aus mehreren Komponenten, die sich mithilfe von Verschlüsselung und Tarntechniken einer Entdeckung durch Sicherheitssoftware entziehen. (Bild: Symantec)

Eine dieser Komponenten ist Kaspersky zufolge in der Lage, GSM-Netzwerke auszuspähen. Das Unternehmen entdeckte bei seiner Analyse Log-Dateien eines Base Station Controller, der wiederum GSM-Basisstationen steuert und für die Weitergabe von Telefonverbindungen verantwortlich ist. Die Log-Dateien stammen allerdings nur aus einem sehr kurzen Zeitraum von rund einem Monat, weswegen Kaspersky vermutet, dass das Ziel des Angriffs die Schadsoftware entfernen konnte. Möglicherweise sei die Malware aber auch so verändert worden, dass sie Log-Dateien nicht mehr lokal speichert, so Kasperky weiter.

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.