Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Eigenes VPN

Anzeige

Für die Kommunikation innerhalb eines infizierten Systems stellt Regin eine eigene Interprozesskommunikation bereit - Remote Procedure Call (RPC) -, die ähnlich geschützt ist wie ein VPN (Virtual Private Network). Sie dient auch der Verständigung von mehreren infizierten Rechnern innerhalb eines infiltrierten IT-Systems. Nach außen kommuniziert Regin mit Command-and-Control-Servern über diverse Protokolle, darunter UDP, TCP, aber auch SSL und Microsofts Netzwerkdateisystem SMB.

Auch die virtuellen verschlüsselten Container konnten die Experten bei Symantec bereits analysieren. Sie nutzen eine eigene Variante von RC5 im CFB-Modus (Cipher Feedback) mit jeweils 64 Blöcken und 20 Runden. In den Containern befindet sich ein FAT-ähnliches Dateisystem. Die dort gelagerten Module haben aber keine Dateinamen, sondern werden über einen Binärcode angesprochen. Die Container selbst werden mit den Dateiendungen .EVT oder .IMD im System abgelegt. Bei Rechnern, von denen die Angreifer selbst die Malware entfernen, bleiben diese Dateien meist zurück, wie die IT-Sicherheitsforscher schreiben.

Weiter im Einsatz

Auch wenn Symantec bereits zahlreiche Details zu bisher entdeckten Komponenten veröffentlicht hat, die Regin entlarven, befürchten die Experten, dass die Entwickler der Malware bereits reagiert und ihre Schadsoftware entsprechend angepasst haben, um sie wieder zu tarnen. Außerdem hat Symantec eine 64-Bit-Version der Malware entdeckt, zumindest Versionen der Stufe eins, zwei und vier. Die eigentlichen Module der Stufe fünf blieben ihnen bislang verborgen. Weil in 64-Bit-Versionen von Windows nur signierte Treiber akzeptiert werden, wird das Modul der Stufe eins als DLL-Bibliothek ausgeliefert. Und die 64-Bit-Version versteckt sich nicht mehr in den ADS des Dateisystems, sondern legt Module in den letzten unbeschrieben Sektoren einer Festplatte ab.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen also über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Ziele sind Telekommunikationsanbieter und Regierungen

Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Regin wurden beispielsweise in Computersystemen und Mailservern von Belgacom gefunden.

Im Dezember 2014 vermeldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Regin vermutlich zum Ausspionieren der EU-Kommission im Jahr 2011 genutzt wurde. Wenig später wurde bekannt, dass die Schnüffelsoftware auch auf dem privaten Computer einer hochrangigen Regierungsmitarbeiterin gefunden worden sein soll.

Regin stammt vermutlich von der NSA

Die Sicherheitsfirma Kaspersky hatte ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Die Experten fanden Teile des bereits im November 2014 veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar 2014 veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Der britische Geheimdienst GCHQ nutzt Regin ebenfalls. Dort wird sie unter dem internen Namen Warriorpride oder Daredevil geführt.

 Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Materialfluss und Logistik, Dortmund
  2. T-Systems International GmbH, Wolfsburg
  3. K+S, Kassel
  4. Vodafone Kabel Deutschland GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  2. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)
  3. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Fujifilm

    Neue Sensoren und besserer Autofokus für X-Kameras

  2. Streaming

    Netflix zeigt Rekordwachstum

  3. Messsucherkamera

    Leica M10 schrumpft trotz Vollformatsensor

  4. Halo Wars 2 angespielt

    Mit dem Warthog an die Strategiespielfront

  5. Hoverbike

    US-Armee fliegt wie Luke Skywalker

  6. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  7. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  8. Begnadigung

    Danke, Chelsea Manning!

  9. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  10. Simplygon

    Microsoft reduziert 3D-Details



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: so etwas ähnliches gibt es schon für die GoPro

    Nullmodem | 09:52

  2. Re: 900p im Jahr 2017

    ahoihoi | 09:52

  3. Re: das muss man allerdings vervollständigen

    lottikarotti | 09:51

  4. Re: lg gibt Diät via Update?

    kaymvoit | 09:51

  5. Re: Das ist traurig

    My1 | 09:50


  1. 09:35

  2. 09:08

  3. 09:04

  4. 09:01

  5. 08:46

  6. 19:06

  7. 17:37

  8. 17:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel