Spionagesoftware: Kaspersky enttarnt Regin als NSA-Programm

Code des Trojaners Regin findet sich auch in den Dokumenten von Edward Snowden. Damit dürfte der Urheber der Cyberwaffe eindeutig feststehen.

Artikel veröffentlicht am ,
Das Qwerty-Keylogger-Modul
Das Qwerty-Keylogger-Modul (Bild: Kaspersky)

Die Sicherheitsfirma Kaspersky hat ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Wie das Unternehmen am Dienstag berichtete, fanden die Experten Teile des bereits im November veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Nach Analyse der Dateien durch Golem.de läuft das Modul auf den Windows-Versionen NT, 2000, XP und 2003.

  • Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
  • Das Modul 20123.sys fand sich einem NSA-Dokument, das der Spiegel im Januar veröffentlicht hatte.
  • Laut Kaspersky ist es unklar, warum die beiden Module eine unterschiedliche ID haben.
  • Mit Hilfe eines Binary-Diff-Tools suchte Kaspersky nach identischem Code zwischen Qwerty...
  • ... und Regin.
Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
Stellenmarkt
  1. IT Support Specialist (d/m/w)
    Müller-Elektronik GmbH, Salzkotten
  2. Experte (m/w/d) Enterprise Service Management
    operational services GmbH & Co. KG, Berlin, Wolfsburg
Detailsuche

Der Spiegel hatte ein PDF-Dokument veröffentlicht, das mehrere Module von Qwerty als Zip-Datei enthielt. Ein Modul davon, 20123.sys, identifizierte Kaspersky als Treiber für einen Keylogger. Dessen Code könne auch in einem Regin-Modul gefunden werden, dem 50251-Plugin. Die meisten Qwerty-Komponenten riefen Plugins von demselben Paket auf, jedoch finde sich in dem Code auch der Aufruf eines Regin-Plugins. Dies bedeute, dass Qwerty nur als Teil von Regin funktioniere, da es ein Plugin benötige, um Funktionen des Kernels zu benutzen.

Für Kaspersky steht fest, dass die Entwickler von Qwerty und Regin identisch sind oder zusammenarbeiten. Zudem habe man festgestellt, dass die Regin-Plugins in einem verschlüsselten und komprimierten virtuellen Dateisystem (VFS) gespeichert würden und daher auf dem infizierten Rechner nicht direkt in einem nativen Format vorhanden seien. Die Malware lade die Plugins bei deren Start, so dass sie nur beim Scannen des Systemspeichers oder durch das Entschlüsseln der VFS entdeckt werden könnten.

Hochkomplexer Trojaner

Erst im November 2014 hatte das Sicherheitsunternehmen Symantec von der Existenz des Trojaners berichtet. Er enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht. Er kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen.

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Einem Bericht der Website The Intercept zufolge wurde die Cyberwaffe von der NSA und dem GCHQ bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen", hatte BSI-Vizepräsident Andreas Könen Ende 2014 dem Spiegel gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer ausführlichen Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Die Bundesregierung hatte zudem bestätigt, dass der Trojaner auf dem privaten Rechner einer Mitarbeiterin des Bundeskanzleramts gefunden worden war. Das BSI soll nach dem Vorfall alle 200 Hochsicherheitslaptops des Kanzleramts überprüft haben. Es sei kein infizierter Rechner gefunden worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mnementh 28. Jan 2015

Das Kompromat bleibt unter Verschluss?

AllDayPiano 28. Jan 2015

Obi ist doch ein enger Freund von der Äinschi. Der würde doch sowas nie im Leben machen...

Day 28. Jan 2015

Was du suchst heißt Tallinn Manual und das ist eine Studie der Nato. http://en.wikipedia...

Der Held vom... 27. Jan 2015

Und uns ist unerklärlich, warum es für ihn unerklärlich ist. Aber man könnte es ja zu...

Marc2 27. Jan 2015

https://www.virustotal.com/en/file...



Aktuell auf der Startseite von Golem.de
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienen Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Artikel
  1. HMD Global: Nokia 9 Pureview bekommt doch kein Android 11
    HMD Global
    Nokia 9 Pureview bekommt doch kein Android 11

    Wer ein Nokia 9 Pureview besitzt, erhält vom Hersteller als Ausgleich beim Kauf eines anderen Nokia-Smartphones einen Rabatt.

  2. TTDSG: Neue Cookie-Regelung in Kraft getreten
    TTDSG
    Neue Cookie-Regelung in Kraft getreten

    Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /