Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Eigenes VPN

Anzeige

Für die Kommunikation innerhalb eines infizierten Systems stellt Regin eine eigene Interprozesskommunikation bereit - Remote Procedure Call (RPC) -, die ähnlich geschützt ist wie ein VPN (Virtual Private Network). Sie dient auch der Verständigung von mehreren infizierten Rechnern innerhalb eines infiltrierten IT-Systems. Nach außen kommuniziert Regin mit Command-and-Control-Servern über diverse Protokolle, darunter UDP, TCP, aber auch SSL und Microsofts Netzwerkdateisystem SMB.

Auch die virtuellen verschlüsselten Container konnten die Experten bei Symantec bereits analysieren. Sie nutzen eine eigene Variante von RC5 im CFB-Modus (Cipher Feedback) mit jeweils 64 Blöcken und 20 Runden. In den Containern befindet sich ein FAT-ähnliches Dateisystem. Die dort gelagerten Module haben aber keine Dateinamen, sondern werden über einen Binärcode angesprochen. Die Container selbst werden mit den Dateiendungen .EVT oder .IMD im System abgelegt. Bei Rechnern, von denen die Angreifer selbst die Malware entfernen, bleiben diese Dateien meist zurück, wie die IT-Sicherheitsforscher schreiben.

Weiter im Einsatz

Auch wenn Symantec bereits zahlreiche Details zu bisher entdeckten Komponenten veröffentlicht hat, die Regin entlarven, befürchten die Experten, dass die Entwickler der Malware bereits reagiert und ihre Schadsoftware entsprechend angepasst haben, um sie wieder zu tarnen. Außerdem hat Symantec eine 64-Bit-Version der Malware entdeckt, zumindest Versionen der Stufe eins, zwei und vier. Die eigentlichen Module der Stufe fünf blieben ihnen bislang verborgen. Weil in 64-Bit-Versionen von Windows nur signierte Treiber akzeptiert werden, wird das Modul der Stufe eins als DLL-Bibliothek ausgeliefert. Und die 64-Bit-Version versteckt sich nicht mehr in den ADS des Dateisystems, sondern legt Module in den letzten unbeschrieben Sektoren einer Festplatte ab.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen also über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Ziele sind Telekommunikationsanbieter und Regierungen

Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Regin wurden beispielsweise in Computersystemen und Mailservern von Belgacom gefunden.

Im Dezember 2014 vermeldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Regin vermutlich zum Ausspionieren der EU-Kommission im Jahr 2011 genutzt wurde. Wenig später wurde bekannt, dass die Schnüffelsoftware auch auf dem privaten Computer einer hochrangigen Regierungsmitarbeiterin gefunden worden sein soll.

Regin stammt vermutlich von der NSA

Die Sicherheitsfirma Kaspersky hatte ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Die Experten fanden Teile des bereits im November 2014 veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar 2014 veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Der britische Geheimdienst GCHQ nutzt Regin ebenfalls. Dort wird sie unter dem internen Namen Warriorpride oder Daredevil geführt.

 Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. AEVI International GmbH, Berlin
  2. Schaeffler Technologies AG & Co. KG, Nürnberg
  3. IT Services mpsna GmbH, Herten
  4. Ratbacher GmbH, München


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  2. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  3. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  4. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  5. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  6. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  7. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  8. Oracle

    Java SE 9 und Java EE 8 gehen live

  9. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  10. Streaming

    Update für Fire TV bringt Lupenfunktion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

  1. Re: K(n)ackpunkt Tastaturlayout

    atrioom | 03:28

  2. Re: Und bei DSL?

    bombinho | 03:21

  3. Re: Geringwertiger Gütertransport

    DASPRiD | 03:07

  4. Re: Absicht?

    exxo | 02:46

  5. Billgphones tuns auch!

    AndreasOZ | 02:11


  1. 17:43

  2. 17:25

  3. 16:55

  4. 16:39

  5. 16:12

  6. 15:30

  7. 15:06

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel