Categories: Politik

Spionage-Trojaner Regin stammt von der NSA

Die Malware Regin soll von dem US-Auslandsgeheimdienst National Security Angency stammen. Das belegen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blog. Regin ist eine hochkomplexe Malware. Die Spionage-Software wurde unter anderem bereits bei einem belgischen Telekommunikationsanbieter, der EU-Kommission und bei einer Mitarbeiterin des Bundeskanzleramtes entdeckt.

Zwischen der Malware Regin und dem aus dem Fundus von Edward Snowden stammenden Informationen zu der Spionage-Software Qwerty gibt es erstaunlich viele Parallelen. (Bild: Kaspersky Labs)

Im Januar hatte das Nachrichtenmagazin “Der Spiegel” aus dem Fundus von Edward Snowden einen Schadcode namens “QWERTY” in Form des Quellcodes veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters hatten diesen Quellcode mit verschiedenen anderen Schädlingen verglichen und fanden dann im Code von Regin sehr deutliche Übereinstimmungen. Der QUERTY-Code habe die beiden auch sofort an Regin denken lassen.

Die beiden Sicherheitsexperten Costin Raiu und Igor Soumenkov sehen mehrere handfeste Beweise, dass beide Schädlinge die gleichen Entwickler haben oder, dass eng kooperiert wurde. (Bild: Kaspersky Labs)

Vor allem das Modul-Pack ‘20123.sys” sei besonders interessant, erklären die Forscher. Dabei scheine es sich um den Keylogger des Programms zu handeln und es habe sich gezeigt, dass dieser mit Regin-Plugin-Modul ‘50251’ identisch sei. Über den Keylogger werden sämtliche Tastaturbefehle gespeichert. Die meisten Qwerty-Komponenten interagieren mit den verschiedenen Plugins in der Regin-Plattform. Ein Code sei sowohl im Regin-Plugin 50225 wie auch in Qwerty 20123 zu finden. Das betreffende Plugin sei für das Kernel-Mode-Hooking verantwortlich.

“Das ist ein echter Beweis dafür, dass das Qwerty-Plugin nur als Teil der Regin-Plattform operieren kann, indem es die Kernel-Hooking-Funktionen des Plugins 50225 aufruft”, so die Forscher in ihrem Beitrag.

Zudem enthalten beide Codes Startup-Code, der auch in jedem anderen Regin-Plugin zum Einsatz kommt, mit dabei ist auch jeweils eine Registrierungsnummer für die Plugins. “Das macht nur Sinn, wenn die Module zusammen mit dem Regin Plattform-Orchestrator verwendet werden.” Die Tatsache, dass die beiden Code-Module verschiedene Plugin-IDs haben, führen die Sicherheitsexperten darauf zurück, dass beide möglicherweise von verschiedenen Organisationen oder Nationen verwendet werden.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der Code Qwerty, den Edward Snowden veröffentlicht hat, ein Teil der Regin-Plattform ist. “Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern braucht die Kernel Hooking Funktionen des Regin-Moduls 50225. Nimmt man nun die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand den Code kopiert haben könnte, ohne Zugriff auf den Source-Code gehabt zu haben. Wir glauben daher, dass die Entwickler von Regin und Qwerty die gleichen sind oder zumindest zusammengearbeitet haben.

Insgesamt 27 Netzwerke in 14 verschiedenen Ländern sind Opfer des hochkomplexen Schädlings Regin geworden. (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde entspricht den Aufklärungszielen der Fife-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schad-Software entdeckt. Dabei würden jedoch Netzwerke gezählt, die Zahl der infizierten PCs sei deutlich höher, so Kaspersky. Laut den Sicherheitsexperten sei der Schädling durchaus mit Stuxnet zu vergleichen und auch ähnlich gefährlich.

Der komplexe Aufbau von Regin. Der Schädling lädt sich selbst in ein verschlüsseltes virtuelles Dateisystem auf dem Rechner des Opfers, wo er kaum zu finden ist. (Grafik: Kaspersky)

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plugins in einem verschlüsselten und komprimiertem Virtual File System auf dem angegriffenen Rechnern gespeichert werden. “Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plugins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es die System-Memory zu scannen oder die VFSes zu dekodieren.”

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

5 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

5 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

1 Woche ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago