• IT-Karriere:
  • Services:

Eigenes VPN

Für die Kommunikation innerhalb eines infizierten Systems stellt Regin eine eigene Interprozesskommunikation bereit - Remote Procedure Call (RPC) -, die ähnlich geschützt ist wie ein VPN (Virtual Private Network). Sie dient auch der Verständigung von mehreren infizierten Rechnern innerhalb eines infiltrierten IT-Systems. Nach außen kommuniziert Regin mit Command-and-Control-Servern über diverse Protokolle, darunter UDP, TCP, aber auch SSL und Microsofts Netzwerkdateisystem SMB.

Stellenmarkt
  1. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich
  2. ATLAS TITAN Mitte GmbH, Wuppertal

Auch die virtuellen verschlüsselten Container konnten die Experten bei Symantec bereits analysieren. Sie nutzen eine eigene Variante von RC5 im CFB-Modus (Cipher Feedback) mit jeweils 64 Blöcken und 20 Runden. In den Containern befindet sich ein FAT-ähnliches Dateisystem. Die dort gelagerten Module haben aber keine Dateinamen, sondern werden über einen Binärcode angesprochen. Die Container selbst werden mit den Dateiendungen .EVT oder .IMD im System abgelegt. Bei Rechnern, von denen die Angreifer selbst die Malware entfernen, bleiben diese Dateien meist zurück, wie die IT-Sicherheitsforscher schreiben.

Weiter im Einsatz

Auch wenn Symantec bereits zahlreiche Details zu bisher entdeckten Komponenten veröffentlicht hat, die Regin entlarven, befürchten die Experten, dass die Entwickler der Malware bereits reagiert und ihre Schadsoftware entsprechend angepasst haben, um sie wieder zu tarnen. Außerdem hat Symantec eine 64-Bit-Version der Malware entdeckt, zumindest Versionen der Stufe eins, zwei und vier. Die eigentlichen Module der Stufe fünf blieben ihnen bislang verborgen. Weil in 64-Bit-Versionen von Windows nur signierte Treiber akzeptiert werden, wird das Modul der Stufe eins als DLL-Bibliothek ausgeliefert. Und die 64-Bit-Version versteckt sich nicht mehr in den ADS des Dateisystems, sondern legt Module in den letzten unbeschrieben Sektoren einer Festplatte ab.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen also über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Ziele sind Telekommunikationsanbieter und Regierungen

Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Regin wurden beispielsweise in Computersystemen und Mailservern von Belgacom gefunden.

Im Dezember 2014 vermeldete das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Regin vermutlich zum Ausspionieren der EU-Kommission im Jahr 2011 genutzt wurde. Wenig später wurde bekannt, dass die Schnüffelsoftware auch auf dem privaten Computer einer hochrangigen Regierungsmitarbeiterin gefunden worden sein soll.

Regin stammt vermutlich von der NSA

Die Sicherheitsfirma Kaspersky hatte ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Die Experten fanden Teile des bereits im November 2014 veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar 2014 veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Der britische Geheimdienst GCHQ nutzt Regin ebenfalls. Dort wird sie unter dem internen Namen Warriorpride oder Daredevil geführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt
  1.  
  2. 1
  3. 2
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Verkehrswende
    Zaubertechnologie statt Citybahn
  2. CD Projekt Red
    PC-Systemanforderungen für Cyberpunk 2077 veröffentlicht
  3. Watch OS 7
    Force Touch auf Apple-Watches per Update deaktiviert
  4. Fortnite Save the World
    Apple blockiert Mac-Updates für Epic-Spiel
  5. Homeoffice
    Online-Lehre in Coronapandemie belastet Studierende
Anzeige
Spiele-Angebote
  2. 32,99€
  3. 55,99€
  4. 4,25€
Kommentarübersicht
Klingt nach Sammeleiern
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Re: USA der Weltagressor
Anonymer Nutzer 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Re: Wie im Firmennetzwerk entdecken?
Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...

Folgen Sie uns
       
ANC
Galaxy Buds Live im Test: So hat Samsung gegen Apples Airpods Pro keine Chance
Galaxy Buds Live im Test
So hat Samsung gegen Apples Airpods Pro keine Chance

Bluetooth-Hörstöpsel in Bohnenform klingen innovativ und wir waren auf die Galaxy Buds Live gespannt. Die Enttäuschung im Test war jedoch groß.
Ein Test von Ingo Pakalski

  1. Freebuds Pro Huawei bringt eine Fast-Kopie der Airpods Pro
  2. Airpods Studio Patentanträge bestätigen Apples Arbeit an ANC-Kopfhörer
  3. Bluetooth-Hörstöpsel mit ANC JBL tritt doppelt gegen Airpods Pro an
ARM
Prozessor: Wie arm ARM mit Nvidia dran ist
Prozessor
Wie arm ARM mit Nvidia dran ist

Von positiv bis hin zum Desaster reichen die Stimmen zum Deal: Was der Kauf von ARM durch Nvidia bedeuten könnte.
Eine Analyse von Marc Sauter

  1. Prozessoren Nvidia kauft ARM für 40 Milliarden US-Dollar
  2. Chipdesigner Nvidia bietet mehr als 40 Milliarden Dollar für ARM
  3. Softbank-Tochter Nvidia hat Interesse an ARM
Telekommunikation
Software-Entwicklung: Wenn alle aneinander vorbeireden
Software-Entwicklung
Wenn alle aneinander vorbeireden

Wenn große Software-Projekte nerven oder sogar scheitern, liegt das oft daran, dass Entwickler und Fachabteilung nicht die gleiche Sprache sprechen.
Ein Erfahrungsbericht von Boris Mayer

  1. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  2. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz
  3. Die persönliche Rufnummer Besitzer von 0700 wollen Sonderrufnummer-Status loswerden
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /