Eigenes VPN

Für die Kommunikation innerhalb eines infizierten Systems stellt Regin eine eigene Interprozesskommunikation bereit - Remote Procedure Call (RPC) -, die ähnlich geschützt ist wie ein VPN (Virtual Private Network). Sie dient auch der Verständigung von mehreren infizierten Rechnern innerhalb eines infiltrierten IT-Systems. Nach außen kommuniziert Regin mit Command-and-Control-Servern über diverse Protokolle, darunter UDP, TCP, aber auch SSL und Microsofts Netzwerkdateisystem SMB.

Auch die virtuellen verschlüsselten Container konnten die Experten bei Symantec bereits analysieren. Sie nutzen eine eigene Variante von RC5 im CFB-Modus (Cipher Feedback) mit jeweils 64 Blöcken und 20 Runden. In den Containern befindet sich ein FAT-ähnliches Dateisystem. Die dort gelagerten Module haben aber keine Dateinamen, sondern werden über einen Binärcode angesprochen. Die Container selbst werden mit den Dateiendungen .EVT oder .IMD im System abgelegt. Bei Rechnern, von denen die Angreifer selbst die Malware entfernen, bleiben diese Dateien meist zurück, wie die IT-Sicherheitsforscher schreiben.

Weiter im Einsatz

Auch wenn Symantec bereits zahlreiche Details zu bisher entdeckten Komponenten veröffentlicht hat, die Regin entlarven, befürchten die Experten, dass die Entwickler der Malware bereits reagiert und ihre Schadsoftware entsprechend angepasst haben, um sie wieder zu tarnen. Außerdem hat Symantec eine 64-Bit-Version der Malware entdeckt, zumindest Versionen der Stufe eins, zwei und vier. Die eigentlichen Module der Stufe fünf blieben ihnen bislang verborgen. Weil in 64-Bit-Versionen von Windows nur signierte Treiber akzeptiert werden, wird das Modul der Stufe eins als DLL-Bibliothek ausgeliefert. Und die 64-Bit-Version versteckt sich nicht mehr in den ADS des Dateisystems, sondern legt Module in den letzten unbeschrieben Sektoren einer Festplatte ab.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen also über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Ziele sind Telekommunikationsanbieter und Regierungen

Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Regin wurden beispielsweise in Computersystemen und Mailservern von Belgacom gefunden.

Im Dezember 2014 vermeldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Regin vermutlich zum Ausspionieren der EU-Kommission im Jahr 2011 genutzt wurde. Wenig später wurde bekannt, dass die Schnüffelsoftware auch auf dem privaten Computer einer hochrangigen Regierungsmitarbeiterin gefunden worden sein soll.

Regin stammt vermutlich von der NSA

Die Sicherheitsfirma Kaspersky hatte ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Die Experten fanden Teile des bereits im November 2014 veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar 2014 veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Der britische Geheimdienst GCHQ nutzt Regin ebenfalls. Dort wird sie unter dem internen Namen Warriorpride oder Daredevil geführt.