Regin: Rechner im Kanzleramt mit Spionagesoftware infiziert

Die Malware soll auf einem PC einer hochrangigen Mitarbeiterin des Bundeskanzleramts gefunden worden sein. Wie die Bild berichtet befand sich Regin auf einem USB-Stick, den das Opfer auf einem privaten Computer genutzt hat.

Der Rechner einer hochrangigen Mitarbeiterin des Bundeskanzleramts und Vertrauten von Bundeskanzlerin Angela Merkel ist Ziel der Spionagesoftware Regin geworden. Das berichtet die Bild-Zeitung. Demnach infizierte die Malware den Rechner über einen USB-Stick. Diesen nutzte die Mitarbeiterin zur Speicherung eines Dokuments auf ihrem privaten Computer. Die Antiviren-Software ihres Dienst-PCs entdeckte die Schadsoftware. Ein Prüfung ergab, dass sich nur Regin und keine weitere Malware auf dem Stick und dem Rechner befand.

Symantec hatte die Spionagesoftware erstmals Ende November entdeckt. Regin soll aber bereits seit 2008 gegen Regierungen, Firmen und auch Einzelpersonen eingesetzt werden. Zum Schutz vor Entdeckung durch Sicherheitsanwendungen nutzt die Malware offenbar unterschiedliche Techniken. Angreifer haben die Schadsoftware unter anderem eingesetzt, um Anrufe und Kommunikation in deren Infrastruktur zu überwachen. Symantec zufolge gehörten Fluglinien, der Energiesektor, Forschungseinrichtungen und die Gastronomiebranche zu den weiteren Opfern.

Regin stammt The Intercept zufolge von den Geheimdiensten der USA und Großbritannien. Der Bericht beruft sich dabei auf Aussagen von Sicherheitsexperten sowie technische Analysen der Malware. Unter anderem soll ein Angriff auf Belgiens größte Telefongesellschaft Belgacom mit der Software durchgeführt worden sein. Zu deren Kunden gehören die EU-Kommission, der Europarat und das europäische Parlament. Der Spiegel berichtete bereits im September 2013, dass der britische Geheimdienst für Angriffe auf Belgacom verantwortlich ist und dafür auch Malware benutzt hat

Die These von The Intercept unterstützen auch die Analysen von Experten der Sicherheitsspezialisten Kasperky und F-Secure. “Wir glauben, dass diese Malware zur Abwechslung mal nicht aus Russland oder China kommt”, schreibt Antti Tikkanen, Director of Security Response bei F-Secure, in einem Blogeintrag. Auch die im Code hinterlassenen Klarnamen für einzelne Module wie “Foggybottom”, “Hopscotch”, “Legspin”, “Salvagerbbit” oder “Starbucks” deuten auf Urheber aus dem angelsächsischen Sprachraum. Zudem spricht für eine Beteiligung eines westlichen Geheimdienstes an Regin die Auswahl der Ziele. Die meisten befinden sich in Europa, Russland und dem Mittleren Osten, keines jedoch in den USA.

Opfer von Regin (Grafik: Kaspersky)Die Infektion eines Systems durch Regin erfolgt in fünf Stufen. Dabei sei nur die erste nicht versteckt und nicht verschlüsselt, so Symantec. Demnach enthalten sämtliche weitere Schritte nur wenige Informationen über die vollständige Struktur der Malware. Die tatsächliche Bedrohung durch die Schadsoftware sei erst nach der Analyse aller fünf Teile gelungen. Es sei nicht auszuschließen, dass noch weitere Komponenten von Regin existieren.

Der Aufbau von Regin erinnert laut Symantec an Stuxnet und Duqu. Ersteres wurde 2010 gegen das Atomprogramm des Iran eingesetzt. Duqu wiederum gilt als Weiterentwicklung von Stuxnet für Cyberspionage.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.