Categories: Politik

Spionage-Trojaner Regin stammt von der NSA

Die Malware Regin soll von dem US-Auslandsgeheimdienst National Security Angency stammen. Das belegen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blog. Regin ist eine hochkomplexe Malware. Die Spionage-Software wurde unter anderem bereits bei einem belgischen Telekommunikationsanbieter, der EU-Kommission und bei einer Mitarbeiterin des Bundeskanzleramtes entdeckt.

Zwischen der Malware Regin und dem aus dem Fundus von Edward Snowden stammenden Informationen zu der Spionage-Software Qwerty gibt es erstaunlich viele Parallelen. (Bild: Kaspersky Labs)

Im Januar hatte das Nachrichtenmagazin “Der Spiegel” aus dem Fundus von Edward Snowden einen Schadcode namens “QWERTY” in Form des Quellcodes veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters hatten diesen Quellcode mit verschiedenen anderen Schädlingen verglichen und fanden dann im Code von Regin sehr deutliche Übereinstimmungen. Der QUERTY-Code habe die beiden auch sofort an Regin denken lassen.

Die beiden Sicherheitsexperten Costin Raiu und Igor Soumenkov sehen mehrere handfeste Beweise, dass beide Schädlinge die gleichen Entwickler haben oder, dass eng kooperiert wurde. (Bild: Kaspersky Labs)

Vor allem das Modul-Pack ‘20123.sys” sei besonders interessant, erklären die Forscher. Dabei scheine es sich um den Keylogger des Programms zu handeln und es habe sich gezeigt, dass dieser mit Regin-Plugin-Modul ‘50251’ identisch sei. Über den Keylogger werden sämtliche Tastaturbefehle gespeichert. Die meisten Qwerty-Komponenten interagieren mit den verschiedenen Plugins in der Regin-Plattform. Ein Code sei sowohl im Regin-Plugin 50225 wie auch in Qwerty 20123 zu finden. Das betreffende Plugin sei für das Kernel-Mode-Hooking verantwortlich.

“Das ist ein echter Beweis dafür, dass das Qwerty-Plugin nur als Teil der Regin-Plattform operieren kann, indem es die Kernel-Hooking-Funktionen des Plugins 50225 aufruft”, so die Forscher in ihrem Beitrag.

Zudem enthalten beide Codes Startup-Code, der auch in jedem anderen Regin-Plugin zum Einsatz kommt, mit dabei ist auch jeweils eine Registrierungsnummer für die Plugins. “Das macht nur Sinn, wenn die Module zusammen mit dem Regin Plattform-Orchestrator verwendet werden.” Die Tatsache, dass die beiden Code-Module verschiedene Plugin-IDs haben, führen die Sicherheitsexperten darauf zurück, dass beide möglicherweise von verschiedenen Organisationen oder Nationen verwendet werden.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der Code Qwerty, den Edward Snowden veröffentlicht hat, ein Teil der Regin-Plattform ist. “Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern braucht die Kernel Hooking Funktionen des Regin-Moduls 50225. Nimmt man nun die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand den Code kopiert haben könnte, ohne Zugriff auf den Source-Code gehabt zu haben. Wir glauben daher, dass die Entwickler von Regin und Qwerty die gleichen sind oder zumindest zusammengearbeitet haben.

Insgesamt 27 Netzwerke in 14 verschiedenen Ländern sind Opfer des hochkomplexen Schädlings Regin geworden. (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde entspricht den Aufklärungszielen der Fife-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schad-Software entdeckt. Dabei würden jedoch Netzwerke gezählt, die Zahl der infizierten PCs sei deutlich höher, so Kaspersky. Laut den Sicherheitsexperten sei der Schädling durchaus mit Stuxnet zu vergleichen und auch ähnlich gefährlich.

Der komplexe Aufbau von Regin. Der Schädling lädt sich selbst in ein verschlüsseltes virtuelles Dateisystem auf dem Rechner des Opfers, wo er kaum zu finden ist. (Grafik: Kaspersky)

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plugins in einem verschlüsselten und komprimiertem Virtual File System auf dem angegriffenen Rechnern gespeichert werden. “Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plugins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es die System-Memory zu scannen oder die VFSes zu dekodieren.”

Redaktion

Recent Posts

Blockchain bleibt Nischentechnologie

Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.

6 Stunden ago

Branchenspezifische KI-Modelle

SAS bietet einsatzfertige KI-Modelle für konkrete Herausforderungen wie Betrugserkennung und Lieferkettenoptimierung.

10 Stunden ago

Hypershield: Umfassender Schutz von Cloud über Rechenzentrum bis Fabrikhalle

Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.

16 Stunden ago

Vernetztes Fahren: Bereitschaft zum Teilen von Daten gering

Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…

2 Tagen ago

Plattenspiegelung ist keine Backup-Recovery-Strategie

Die Ziele einer Festplattenspiegelung und eines Backups sind unterschiedlich, sagt Sven Richter von Arcserve.

3 Tagen ago

Chaos bei der Umsetzung von NIS-2 droht

Das Damoklesschwert NIS-2 kann daher schneller wirksam werden, als manchem lieb ist, warnt Bernhard Kretschmer…

3 Tagen ago