Abo
  • Services:

Spionagesoftware: Kaspersky enttarnt Regin als NSA-Programm

Code des Trojaners Regin findet sich auch in den Dokumenten von Edward Snowden. Damit dürfte der Urheber der Cyberwaffe eindeutig feststehen.

Artikel veröffentlicht am ,
Das Qwerty-Keylogger-Modul
Das Qwerty-Keylogger-Modul (Bild: Kaspersky)

Die Sicherheitsfirma Kaspersky hat ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Wie das Unternehmen am Dienstag berichtete, fanden die Experten Teile des bereits im November veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Nach Analyse der Dateien durch Golem.de läuft das Modul auf den Windows-Versionen NT, 2000, XP und 2003.

  • Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
  • Das Modul 20123.sys fand sich einem NSA-Dokument, das der Spiegel im Januar veröffentlicht hatte.
  • Laut Kaspersky ist es unklar, warum die beiden Module eine unterschiedliche ID haben.
  • Mit Hilfe eines Binary-Diff-Tools suchte Kaspersky nach identischem Code zwischen Qwerty...
  • ... und Regin.
Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
Stellenmarkt
  1. Waldorf Frommer Rechtsanwälte, München
  2. PARI Pharma GmbH, Gräfelfing

Der Spiegel hatte ein PDF-Dokument veröffentlicht, das mehrere Module von Qwerty als Zip-Datei enthielt. Ein Modul davon, 20123.sys, identifizierte Kaspersky als Treiber für einen Keylogger. Dessen Code könne auch in einem Regin-Modul gefunden werden, dem 50251-Plugin. Die meisten Qwerty-Komponenten riefen Plugins von demselben Paket auf, jedoch finde sich in dem Code auch der Aufruf eines Regin-Plugins. Dies bedeute, dass Qwerty nur als Teil von Regin funktioniere, da es ein Plugin benötige, um Funktionen des Kernels zu benutzen.

Für Kaspersky steht fest, dass die Entwickler von Qwerty und Regin identisch sind oder zusammenarbeiten. Zudem habe man festgestellt, dass die Regin-Plugins in einem verschlüsselten und komprimierten virtuellen Dateisystem (VFS) gespeichert würden und daher auf dem infizierten Rechner nicht direkt in einem nativen Format vorhanden seien. Die Malware lade die Plugins bei deren Start, so dass sie nur beim Scannen des Systemspeichers oder durch das Entschlüsseln der VFS entdeckt werden könnten.

Hochkomplexer Trojaner

Erst im November 2014 hatte das Sicherheitsunternehmen Symantec von der Existenz des Trojaners berichtet. Er enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht. Er kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen.

Einem Bericht der Website The Intercept zufolge wurde die Cyberwaffe von der NSA und dem GCHQ bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen", hatte BSI-Vizepräsident Andreas Könen Ende 2014 dem Spiegel gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer ausführlichen Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Die Bundesregierung hatte zudem bestätigt, dass der Trojaner auf dem privaten Rechner einer Mitarbeiterin des Bundeskanzleramts gefunden worden war. Das BSI soll nach dem Vorfall alle 200 Hochsicherheitslaptops des Kanzleramts überprüft haben. Es sei kein infizierter Rechner gefunden worden.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  3. 5€ inkl. FSK-18-Versand

mnementh 28. Jan 2015

Das Kompromat bleibt unter Verschluss?

AllDayPiano 28. Jan 2015

Obi ist doch ein enger Freund von der Äinschi. Der würde doch sowas nie im Leben machen...

Day 28. Jan 2015

Was du suchst heißt Tallinn Manual und das ist eine Studie der Nato. http://en.wikipedia...

Der Held vom... 27. Jan 2015

Und uns ist unerklärlich, warum es für ihn unerklärlich ist. Aber man könnte es ja zu...

Marc2 27. Jan 2015

https://www.virustotal.com/en/file...


Folgen Sie uns
       


Resident Evil 2 Remake - Fazit

Bei Capcom haben sie derzeit in Sachen Horror ein monstermäßig gutes Händchen.

Resident Evil 2 Remake - Fazit Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
    Enterprise Resource Planning
    Drei Gründe für das Scheitern von SAP-Projekten

    Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
    Von Markus Kammermeier


      Android-Smartphone: 10 Jahre in die Vergangenheit in 5 Tagen
      Android-Smartphone
      10 Jahre in die Vergangenheit in 5 Tagen

      Android ist erst zehn Jahre alt, doch die ersten Geräte damit sind schon Technikgeschichte. Wir haben uns mit einem Nexus One in die Zeit zurückversetzt, als Mobiltelefone noch Handys hießen und Nachrichten noch Bällchen zum Leuchten brachten.
      Ein Erfahrungsbericht von Martin Wolf

      1. Android Q Google will den Zurück-Button abschaffen
      2. Sicherheitspatches Android lässt sich per PNG-Datei übernehmen
      3. Google Auf dem Weg zu reinen 64-Bit-Android-Apps

        •  /