Anzeige
Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen.
Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen. (Bild: Symantec)

Stuxnet lässt grüßen: Trojaner hat Unternehmen in großem Stil ausgespäht

Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen.
Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen. (Bild: Symantec)

Sicherheitsexperten haben einen Trojaner entdeckt, der ähnlich wie der Computerwurm Stuxnet agiert und über Jahre Ziele in der Industrie ausgespäht haben soll. Wer hinter der Malware steckt, ist bislang unklar.

Anzeige

Ein hochentwickelter Trojaner soll seit Jahren unbemerkt Ziele in der internationalen Industrie ausgespäht haben, darunter Unternehmen aus Energie, Luftfahrt und Forschung. Wie Experten der Sicherheitsfirma Symantec berichten, erinnert die hochentwickelte Malware an frühere von Regierungen entwickelte Trojaner wie Flame, Dugu und Stuxnet. Wer hinter der jetzt entdeckten Malware steckt, ist noch unklar. Die Sicherheitsexperten vermuten aber ein reiches Industrieland als Verantwortlichen.

Regin-Aufbau sehr komplex

Die Entwicklung von Regin, wie der Trojaner von Symantec-Experten genannt wurde, habe vermutlich Monate oder Jahre gedauert. Der Trojaner enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Regin bestehe aus fünf verschiedenen Stufen, von denen bis auf die erste alle verschlüsselt seien. Wird die erste Stufe ausgeführt, wird eine Art Dominoeffekt ausgelöst, der die anderen Stufen nacheinander entschlüsselt und in Gang setzt. Erst nachdem Sicherheitsexperten alle fünf Stufen entschlüsselt und analysiert hatten, konnte die Arbeitsweise der Malware verstanden werden.

Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht.

Das Ziel waren Internetprovider und Telekomanbieter

Der Trojaner kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen. Speziell zugeschnittene Versionen von Regin können unter anderem den Traffic eines Microsoft IIS Servers oder den Base Station Controller eines Mobilfunknetzes auslesen, der die Funkverbindungen in GSM-Netzen überwacht.

Die Sicherheitsexperten vermuten, dass Regin bereits seit mindestens 2008 in mehreren Kampagnen eingesetzt wurde. Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Bisher sind 100 Infektionen eindeutig identifiziert.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Regin soll verschiedene Wege der Verbreitung gewählt haben, etwa über populäre Webseiten, die entsprechend präpariert wurden. Zudem nutzte die Malware eine damals nicht bekannte Sicherheitslücke in Yahoos Instant Messenger.

Malware war knapp zwei Jahre inaktiv

Wie die Angreifer mit den infizierten Computern kommunizieren, ist bislang nicht klar. Ebenfalls unklar ist, welche Regierung hinter der Entwicklung von Regin stecken könnte. 2011 wurde die Nutzung der Malware plötzlich eingestellt, tauchte aber in modifizierter Form 2013 erneut auf. Symantec hat den Trojaner erstmals im Dezember 2013 entdeckt.

Der Computerwurm Stuxnet hatte es in den Jahren 2009 und 2010 zunächst auf iranische Unternehmen abgesehen, die als Zulieferer für das Atomprogramm des Landes galten.


eye home zur Startseite
HubertHans 27. Nov 2014

Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese...

hw75 25. Nov 2014

Naja spätestens jetzt ists klar. Wenn hätts auch gewundert, wenn jemand anderes als die...

hw75 24. Nov 2014

Denn wie jeder weiß werden die Überwachungsprogramme und das Ausnutzen von...

scarecraft 24. Nov 2014

...wissen die das der Trojaner 2011 nicht aktiv war, wenn er erst 2013 entdeckt wurde?

aluu 24. Nov 2014

...hahahah ja genau, wen wollt ihr eigentlich verarschen ? Realsatire vom allerfeinsten.

Kommentieren



Anzeige

  1. Web-Entwickler / Programmierer (m/w)
    point of media Verlag GmbH, Landau
  2. Business Analyst (m/w)
    SolarWorld AG, Bonn
  3. IT Leiter (m/w)
    über pergenta c/o GermanPersonnel e-search GmbH, Raum Leipzig
  4. (Teil-)Projektleiter/in Embedded Software Internet of Things
    Bosch Connected Devices and Solutions GmbH, Reutlingen

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Pastejacking im Browser

    Codeausführung per Copy and Paste

  2. Manuela Schwesig

    Familienministerin will den Jugendschutz im Netz neu regeln

  3. Intels Compute Stick im Test

    Der mit dem Lüfter streamt (2)

  4. Google Chrome für zSpace

    Augmented-Reality-Version des Browsers kommt noch 2016

  5. Medizin

    Tricorderartiger Sensor erfasst Vitaldaten

  6. TG-Tracker

    Sensorbeladene Olympus-Actionkamera mit 4K-Aufnahme

  7. Trotz Unterlassungserklärung

    Unitymedia bleibt im Streit um WLAN-Hotspots hart

  8. Auftragshersteller

    Apple soll Bestellungen für iPhone 7 stark erhöht haben

  9. TSST-K

    Ungewisse Zukunft für einen der letzten ODD-Anbieter

  10. Google und Starbreeze als Partner

    Imax arbeitet an VR-Kamera und VR-Kinos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. APT28 Hackergruppe soll CDU angegriffen haben
  2. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"
  3. Security Roboter aus Lego knackt Gestenauthentifizierung

  1. Re: War zu erwarten....-die Meldung.

    Trollversteher | 13:37

  2. Re: Na endlich

    plutoniumsulfat | 13:37

  3. Re: ApoRed gesetzlich verbieten und seinen...

    Midian | 13:37

  4. Re: Künstler verdienen sehr wenig bei Spotify

    Dwalinn | 13:36

  5. Re: Dritter Absatz, Vorletzte Zeile, Zweites Wort

    RicoBrassers | 13:36


  1. 13:45

  2. 12:33

  3. 12:02

  4. 11:56

  5. 11:38

  6. 11:28

  7. 11:10

  8. 10:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel