Spionage-Trojaner Regin stammt von der NSA

Die Malware Regin soll von dem US-Auslandsgeheimdienst National Security Angency stammen. Das belegen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blog. Regin ist eine hochkomplexe Malware. Die Spionage-Software wurde unter anderem bereits bei einem belgischen Telekommunikationsanbieter, der EU-Kommission und bei einer Mitarbeiterin des Bundeskanzleramtes entdeckt.

Im Januar hatte das Nachrichtenmagazin “Der Spiegel” aus dem Fundus von Edward Snowden einen Schadcode namens “QWERTY” in Form des Quellcodes veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters hatten diesen Quellcode mit verschiedenen anderen Schädlingen verglichen und fanden dann im Code von Regin sehr deutliche Übereinstimmungen. Der QUERTY-Code habe die beiden auch sofort an Regin denken lassen.

Vor allem das Modul-Pack ‘20123.sys” sei besonders interessant, erklären die Forscher. Dabei scheine es sich um den Keylogger des Programms zu handeln und es habe sich gezeigt, dass dieser mit Regin-Plugin-Modul ‘50251’ identisch sei. Über den Keylogger werden sämtliche Tastaturbefehle gespeichert. Die meisten Qwerty-Komponenten interagieren mit den verschiedenen Plugins in der Regin-Plattform. Ein Code sei sowohl im Regin-Plugin 50225 wie auch in Qwerty 20123 zu finden. Das betreffende Plugin sei für das Kernel-Mode-Hooking verantwortlich.

“Das ist ein echter Beweis dafür, dass das Qwerty-Plugin nur als Teil der Regin-Plattform operieren kann, indem es die Kernel-Hooking-Funktionen des Plugins 50225 aufruft”, so die Forscher in ihrem Beitrag.

Zudem enthalten beide Codes Startup-Code, der auch in jedem anderen Regin-Plugin zum Einsatz kommt, mit dabei ist auch jeweils eine Registrierungsnummer für die Plugins. “Das macht nur Sinn, wenn die Module zusammen mit dem Regin Plattform-Orchestrator verwendet werden.” Die Tatsache, dass die beiden Code-Module verschiedene Plugin-IDs haben, führen die Sicherheitsexperten darauf zurück, dass beide möglicherweise von verschiedenen Organisationen oder Nationen verwendet werden.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der Code Qwerty, den Edward Snowden veröffentlicht hat, ein Teil der Regin-Plattform ist. “Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern braucht die Kernel Hooking Funktionen des Regin-Moduls 50225. Nimmt man nun die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand den Code kopiert haben könnte, ohne Zugriff auf den Source-Code gehabt zu haben. Wir glauben daher, dass die Entwickler von Regin und Qwerty die gleichen sind oder zumindest zusammengearbeitet haben.

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde entspricht den Aufklärungszielen der Fife-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schad-Software entdeckt. Dabei würden jedoch Netzwerke gezählt, die Zahl der infizierten PCs sei deutlich höher, so Kaspersky. Laut den Sicherheitsexperten sei der Schädling durchaus mit Stuxnet zu vergleichen und auch ähnlich gefährlich.

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plugins in einem verschlüsselten und komprimiertem Virtual File System auf dem angegriffenen Rechnern gespeichert werden. “Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plugins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es die System-Memory zu scannen oder die VFSes zu dekodieren.”