Regin: Stuxnet-ähnliche Malware spioniert Unternehmen aus

Wie das Sicherheitsunternehmen Symantec mitteilt, hat es die hoch entwickelte Spionagesoftware Regin entdeckt. Sie soll bereits seit dem Jahr 2008 aktiv sein. Seitdem kommt sie gegen Einzelpersonen, Firmen und auch Regierungen zum Einsatz. Dabei verwendet die Malware offenbar unterschiedliche Methoden, um Sicherheitslösungen zu umgehen und sich vor einer Entdeckung zu schützen.

Möglicherweise hat ein Staat Regin in Auftrag gegeben. Das vermutet Symantec aufgrund des Entwicklungsaufwandes der Tarnfunktion. Die Sicherheitsfirma äußert allerdings keinen Verdacht zu den Hintermännern. Die Schadsoftware sei für eine langfristige Massenüberwachung geeignet.

“Regins Entwickler haben einen erheblichen Aufwand betrieben, um es besonders unauffällig zu machen”, heißt es in einem Blog von Symantec. Die Software könne für mehrjährige Spionage-Kampagnen genutzt werden. Diesen Schluss lasse das sehr zurückhaltende Vorgehen der Angreifer zu. “Selbst wenn es entdeckt wurde, ist es sehr schwer herauszufinden, was es tut.”

Regin lässt sich vielseitig einsetzen

Regin lässt sich den Sicherheitsexperten zufolge beliebig anpassen und somit für unterschiedlichste Zwecke nutzen. Symantec führt als Beispiele die Entwendung von Daten sowie Passwörtern und die Steuerung von Eingabegeräten an. Auch Screenshots kann die Malware erstellen. Zudem sind mit Regin die Überwachung von Netzwerkverkehr und die Analyse von E-Mails aus Exchange-Datenbanken möglich.

Zu den Zielen der Schadsoftware zählen unter anderem Internet Service Provider und Telekommunikationsfirmen. Dabei hat die Malware Anrufe und Kommunikation in deren Infrastruktur überwacht. Symantec zufolge hat Regin es auch auf den Energiesektor, Forschungseinrichtungen, Fluglinien und die Gastronomiebranche abgesehen.

Das Sicherheitsunternehmen hat über die Hälfte aller Infektionen in Russland und Saudi Arabien entdeckt. Die Schadsoftware agiert aber auch in Irland, Österreich und Mexiko.

In fünf Schritten zur Infektion

Die Infektion eines Systems durch Regin erfolgt in fünf Stufen. Dabei sei nur die erste nicht versteckt und nicht verschlüsselt, so Symantec. Demnach enthalten sämtliche weitere Schritte nur wenige Informationen über die vollständige Struktur der Malware. Die tatsächliche Bedrohung durch die Schadsoftware sei erst nach der Analyse aller fünf Teile gelungen. Es sei nicht auszuschließen, dass noch weitere Komponenten von Regin existieren.

Der Aufbau von Regin erinnert laut Symantec an Stuxnet und Duqu. Ersteres wurde 2010 gegen das Atomprogramm des Iran eingesetzt. Duqu wiederum gilt als Weiterentwicklung von Stuxnet für Cyberspionage.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de