Abo
  • Services:

Spionagesoftware: Kaspersky enttarnt Regin als NSA-Programm

Code des Trojaners Regin findet sich auch in den Dokumenten von Edward Snowden. Damit dürfte der Urheber der Cyberwaffe eindeutig feststehen.

Artikel veröffentlicht am ,
Das Qwerty-Keylogger-Modul
Das Qwerty-Keylogger-Modul (Bild: Kaspersky)

Die Sicherheitsfirma Kaspersky hat ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Wie das Unternehmen am Dienstag berichtete, fanden die Experten Teile des bereits im November veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Nach Analyse der Dateien durch Golem.de läuft das Modul auf den Windows-Versionen NT, 2000, XP und 2003.

  • Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
  • Das Modul 20123.sys fand sich einem NSA-Dokument, das der Spiegel im Januar veröffentlicht hatte.
  • Laut Kaspersky ist es unklar, warum die beiden Module eine unterschiedliche ID haben.
  • Mit Hilfe eines Binary-Diff-Tools suchte Kaspersky nach identischem Code zwischen Qwerty...
  • ... und Regin.
Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
Stellenmarkt
  1. Landratsamt Reutlingen, Reutlingen bei Stuttgart
  2. Kassenärztliche Vereinigung Rheinland-Pfalz, Neustadt

Der Spiegel hatte ein PDF-Dokument veröffentlicht, das mehrere Module von Qwerty als Zip-Datei enthielt. Ein Modul davon, 20123.sys, identifizierte Kaspersky als Treiber für einen Keylogger. Dessen Code könne auch in einem Regin-Modul gefunden werden, dem 50251-Plugin. Die meisten Qwerty-Komponenten riefen Plugins von demselben Paket auf, jedoch finde sich in dem Code auch der Aufruf eines Regin-Plugins. Dies bedeute, dass Qwerty nur als Teil von Regin funktioniere, da es ein Plugin benötige, um Funktionen des Kernels zu benutzen.

Für Kaspersky steht fest, dass die Entwickler von Qwerty und Regin identisch sind oder zusammenarbeiten. Zudem habe man festgestellt, dass die Regin-Plugins in einem verschlüsselten und komprimierten virtuellen Dateisystem (VFS) gespeichert würden und daher auf dem infizierten Rechner nicht direkt in einem nativen Format vorhanden seien. Die Malware lade die Plugins bei deren Start, so dass sie nur beim Scannen des Systemspeichers oder durch das Entschlüsseln der VFS entdeckt werden könnten.

Hochkomplexer Trojaner

Erst im November 2014 hatte das Sicherheitsunternehmen Symantec von der Existenz des Trojaners berichtet. Er enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht. Er kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen.

Einem Bericht der Website The Intercept zufolge wurde die Cyberwaffe von der NSA und dem GCHQ bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen", hatte BSI-Vizepräsident Andreas Könen Ende 2014 dem Spiegel gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer ausführlichen Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Die Bundesregierung hatte zudem bestätigt, dass der Trojaner auf dem privaten Rechner einer Mitarbeiterin des Bundeskanzleramts gefunden worden war. Das BSI soll nach dem Vorfall alle 200 Hochsicherheitslaptops des Kanzleramts überprüft haben. Es sei kein infizierter Rechner gefunden worden.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,99€
  3. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  4. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

mnementh 28. Jan 2015

Das Kompromat bleibt unter Verschluss?

AllDayPiano 28. Jan 2015

Obi ist doch ein enger Freund von der Äinschi. Der würde doch sowas nie im Leben machen...

Day 28. Jan 2015

Was du suchst heißt Tallinn Manual und das ist eine Studie der Nato. http://en.wikipedia...

Der Held vom... 27. Jan 2015

Und uns ist unerklärlich, warum es für ihn unerklärlich ist. Aber man könnte es ja zu...

Marc2 27. Jan 2015

https://www.virustotal.com/en/file...


Folgen Sie uns
       


Super Nt - Fazit

Wir ziehen unser Test-Fazit zum Super Nt von Analogue.

Super Nt - Fazit Video aufrufen
Grenzenloser Datenzugriff: Was der Cloud-Act für EU-Bürger bedeutet
Grenzenloser Datenzugriff
Was der Cloud-Act für EU-Bürger bedeutet

Neue Gesetze in den USA und der EU könnten den Weg für einen ungehinderten und schnellen weltweiten Datenzugriff von Ermittlungsbehörden ebnen. Datenschützer und IT-Wirtschaft sehen die Pläne jedoch sehr kritisch.
Ein Bericht von Friedhelm Greis

  1. Elektronische Beweise EU-Kommission fordert weltweiten Zugriff auf Daten
  2. Panera Bread Café-Kette exponiert Millionen Kundendaten im Netz
  3. Soziale Netzwerke Datenschlampereien mit HIV-Status und Videodateien

Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
Ryzen 7 2700X im Test
AMDs Zen+ zieht gleich mit Intel

Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
  2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
  3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

    •  /