Categories: Politik

Spionage-Trojaner Regin stammt von der NSA

Die Malware Regin soll von dem US-Auslandsgeheimdienst National Security Angency stammen. Das belegen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blog. Regin ist eine hochkomplexe Malware. Die Spionage-Software wurde unter anderem bereits bei einem belgischen Telekommunikationsanbieter, der EU-Kommission und bei einer Mitarbeiterin des Bundeskanzleramtes entdeckt.

Zwischen der Malware Regin und dem aus dem Fundus von Edward Snowden stammenden Informationen zu der Spionage-Software Qwerty gibt es erstaunlich viele Parallelen. (Bild: Kaspersky Labs)

Im Januar hatte das Nachrichtenmagazin “Der Spiegel” aus dem Fundus von Edward Snowden einen Schadcode namens “QWERTY” in Form des Quellcodes veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters hatten diesen Quellcode mit verschiedenen anderen Schädlingen verglichen und fanden dann im Code von Regin sehr deutliche Übereinstimmungen. Der QUERTY-Code habe die beiden auch sofort an Regin denken lassen.

Die beiden Sicherheitsexperten Costin Raiu und Igor Soumenkov sehen mehrere handfeste Beweise, dass beide Schädlinge die gleichen Entwickler haben oder, dass eng kooperiert wurde. (Bild: Kaspersky Labs)

Vor allem das Modul-Pack ‘20123.sys” sei besonders interessant, erklären die Forscher. Dabei scheine es sich um den Keylogger des Programms zu handeln und es habe sich gezeigt, dass dieser mit Regin-Plugin-Modul ‘50251’ identisch sei. Über den Keylogger werden sämtliche Tastaturbefehle gespeichert. Die meisten Qwerty-Komponenten interagieren mit den verschiedenen Plugins in der Regin-Plattform. Ein Code sei sowohl im Regin-Plugin 50225 wie auch in Qwerty 20123 zu finden. Das betreffende Plugin sei für das Kernel-Mode-Hooking verantwortlich.

“Das ist ein echter Beweis dafür, dass das Qwerty-Plugin nur als Teil der Regin-Plattform operieren kann, indem es die Kernel-Hooking-Funktionen des Plugins 50225 aufruft”, so die Forscher in ihrem Beitrag.

Zudem enthalten beide Codes Startup-Code, der auch in jedem anderen Regin-Plugin zum Einsatz kommt, mit dabei ist auch jeweils eine Registrierungsnummer für die Plugins. “Das macht nur Sinn, wenn die Module zusammen mit dem Regin Plattform-Orchestrator verwendet werden.” Die Tatsache, dass die beiden Code-Module verschiedene Plugin-IDs haben, führen die Sicherheitsexperten darauf zurück, dass beide möglicherweise von verschiedenen Organisationen oder Nationen verwendet werden.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der Code Qwerty, den Edward Snowden veröffentlicht hat, ein Teil der Regin-Plattform ist. “Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern braucht die Kernel Hooking Funktionen des Regin-Moduls 50225. Nimmt man nun die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand den Code kopiert haben könnte, ohne Zugriff auf den Source-Code gehabt zu haben. Wir glauben daher, dass die Entwickler von Regin und Qwerty die gleichen sind oder zumindest zusammengearbeitet haben.

Insgesamt 27 Netzwerke in 14 verschiedenen Ländern sind Opfer des hochkomplexen Schädlings Regin geworden. (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde entspricht den Aufklärungszielen der Fife-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schad-Software entdeckt. Dabei würden jedoch Netzwerke gezählt, die Zahl der infizierten PCs sei deutlich höher, so Kaspersky. Laut den Sicherheitsexperten sei der Schädling durchaus mit Stuxnet zu vergleichen und auch ähnlich gefährlich.

Der komplexe Aufbau von Regin. Der Schädling lädt sich selbst in ein verschlüsseltes virtuelles Dateisystem auf dem Rechner des Opfers, wo er kaum zu finden ist. (Grafik: Kaspersky)

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plugins in einem verschlüsselten und komprimiertem Virtual File System auf dem angegriffenen Rechnern gespeichert werden. “Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plugins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es die System-Memory zu scannen oder die VFSes zu dekodieren.”

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago