Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Eigenes VPN

Anzeige

Für die Kommunikation innerhalb eines infizierten Systems stellt Regin eine eigene Interprozesskommunikation bereit - Remote Procedure Call (RPC) -, die ähnlich geschützt ist wie ein VPN (Virtual Private Network). Sie dient auch der Verständigung von mehreren infizierten Rechnern innerhalb eines infiltrierten IT-Systems. Nach außen kommuniziert Regin mit Command-and-Control-Servern über diverse Protokolle, darunter UDP, TCP, aber auch SSL und Microsofts Netzwerkdateisystem SMB.

Auch die virtuellen verschlüsselten Container konnten die Experten bei Symantec bereits analysieren. Sie nutzen eine eigene Variante von RC5 im CFB-Modus (Cipher Feedback) mit jeweils 64 Blöcken und 20 Runden. In den Containern befindet sich ein FAT-ähnliches Dateisystem. Die dort gelagerten Module haben aber keine Dateinamen, sondern werden über einen Binärcode angesprochen. Die Container selbst werden mit den Dateiendungen .EVT oder .IMD im System abgelegt. Bei Rechnern, von denen die Angreifer selbst die Malware entfernen, bleiben diese Dateien meist zurück, wie die IT-Sicherheitsforscher schreiben.

Weiter im Einsatz

Auch wenn Symantec bereits zahlreiche Details zu bisher entdeckten Komponenten veröffentlicht hat, die Regin entlarven, befürchten die Experten, dass die Entwickler der Malware bereits reagiert und ihre Schadsoftware entsprechend angepasst haben, um sie wieder zu tarnen. Außerdem hat Symantec eine 64-Bit-Version der Malware entdeckt, zumindest Versionen der Stufe eins, zwei und vier. Die eigentlichen Module der Stufe fünf blieben ihnen bislang verborgen. Weil in 64-Bit-Versionen von Windows nur signierte Treiber akzeptiert werden, wird das Modul der Stufe eins als DLL-Bibliothek ausgeliefert. Und die 64-Bit-Version versteckt sich nicht mehr in den ADS des Dateisystems, sondern legt Module in den letzten unbeschrieben Sektoren einer Festplatte ab.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen also über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Ziele sind Telekommunikationsanbieter und Regierungen

Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Regin wurden beispielsweise in Computersystemen und Mailservern von Belgacom gefunden.

Im Dezember 2014 vermeldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Regin vermutlich zum Ausspionieren der EU-Kommission im Jahr 2011 genutzt wurde. Wenig später wurde bekannt, dass die Schnüffelsoftware auch auf dem privaten Computer einer hochrangigen Regierungsmitarbeiterin gefunden worden sein soll.

Regin stammt vermutlich von der NSA

Die Sicherheitsfirma Kaspersky hatte ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Die Experten fanden Teile des bereits im November 2014 veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar 2014 veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Der britische Geheimdienst GCHQ nutzt Regin ebenfalls. Dort wird sie unter dem internen Namen Warriorpride oder Daredevil geführt.

 Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Waiblingen, Berlin
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Robert Bosch GmbH, Leonberg
  4. über Ratbacher GmbH, Köln


Anzeige
Blu-ray-Angebote
  1. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)
  2. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)
  3. (u. a. The Complete Bourne Collection Blu-ray 14,99€, Harry Potter Complete Blu-ray 44,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Henne-Ei-Problem?

    robinx999 | 21:27

  2. Re: "Bestätigungscode muss nicht bei jedem Login...

    schnief | 21:27

  3. Re: Typisch Apple Sicherheit, Prüfung gehört ins...

    xmaniac | 21:27

  4. Betrifft nur wenige

    Friedrich.Thal | 21:20

  5. Re: .. nachtrag

    slead | 21:15


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel