Abo
  • Services:

Spionagesoftware: Kaspersky enttarnt Regin als NSA-Programm

Code des Trojaners Regin findet sich auch in den Dokumenten von Edward Snowden. Damit dürfte der Urheber der Cyberwaffe eindeutig feststehen.

Artikel veröffentlicht am ,
Das Qwerty-Keylogger-Modul
Das Qwerty-Keylogger-Modul (Bild: Kaspersky)

Die Sicherheitsfirma Kaspersky hat ein starkes Indiz für die Urheberschaft des Trojaners Regin gefunden. Wie das Unternehmen am Dienstag berichtete, fanden die Experten Teile des bereits im November veröffentlichten Regin-Codes in NSA-Dokumenten wieder, die der Spiegel Mitte Januar veröffentlicht hatte. Demnach verwendet das NSA-Programm Qwerty teilweise identischen Code wie Regin. Nach Analyse der Dateien durch Golem.de läuft das Modul auf den Windows-Versionen NT, 2000, XP und 2003.

  • Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
  • Das Modul 20123.sys fand sich einem NSA-Dokument, das der Spiegel im Januar veröffentlicht hatte.
  • Laut Kaspersky ist es unklar, warum die beiden Module eine unterschiedliche ID haben.
  • Mit Hilfe eines Binary-Diff-Tools suchte Kaspersky nach identischem Code zwischen Qwerty...
  • ... und Regin.
Kaspersky fand Code des NSA-Tools Qwerty auch in der Spähsoftware Regin. (Fotos: Kaspersky)
Stellenmarkt
  1. NORMA Group Holding GmbH, Maintal bei Frankfurt am Main
  2. BWI GmbH, Meckenheim, München

Der Spiegel hatte ein PDF-Dokument veröffentlicht, das mehrere Module von Qwerty als Zip-Datei enthielt. Ein Modul davon, 20123.sys, identifizierte Kaspersky als Treiber für einen Keylogger. Dessen Code könne auch in einem Regin-Modul gefunden werden, dem 50251-Plugin. Die meisten Qwerty-Komponenten riefen Plugins von demselben Paket auf, jedoch finde sich in dem Code auch der Aufruf eines Regin-Plugins. Dies bedeute, dass Qwerty nur als Teil von Regin funktioniere, da es ein Plugin benötige, um Funktionen des Kernels zu benutzen.

Für Kaspersky steht fest, dass die Entwickler von Qwerty und Regin identisch sind oder zusammenarbeiten. Zudem habe man festgestellt, dass die Regin-Plugins in einem verschlüsselten und komprimierten virtuellen Dateisystem (VFS) gespeichert würden und daher auf dem infizierten Rechner nicht direkt in einem nativen Format vorhanden seien. Die Malware lade die Plugins bei deren Start, so dass sie nur beim Scannen des Systemspeichers oder durch das Entschlüsseln der VFS entdeckt werden könnten.

Hochkomplexer Trojaner

Erst im November 2014 hatte das Sicherheitsunternehmen Symantec von der Existenz des Trojaners berichtet. Er enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht. Er kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen.

Einem Bericht der Website The Intercept zufolge wurde die Cyberwaffe von der NSA und dem GCHQ bei einem Angriff auf den belgischen Provider Belgacom eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Regin für eine große Cyberattacke auf die EU-Kommission im Jahr 2011 verwendet wurde. "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen", hatte BSI-Vizepräsident Andreas Könen Ende 2014 dem Spiegel gesagt. Die Sicherheitsexperten hätten die auf den EU-Rechnern gefundene Malware mit einer ausführlichen Analyse von Regin verglichen, die Symantec veröffentlicht hatte. Die Bundesregierung hatte zudem bestätigt, dass der Trojaner auf dem privaten Rechner einer Mitarbeiterin des Bundeskanzleramts gefunden worden war. Das BSI soll nach dem Vorfall alle 200 Hochsicherheitslaptops des Kanzleramts überprüft haben. Es sei kein infizierter Rechner gefunden worden.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  3. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten

mnementh 28. Jan 2015

Das Kompromat bleibt unter Verschluss?

AllDayPiano 28. Jan 2015

Obi ist doch ein enger Freund von der Äinschi. Der würde doch sowas nie im Leben machen...

Day 28. Jan 2015

Was du suchst heißt Tallinn Manual und das ist eine Studie der Nato. http://en.wikipedia...

Der Held vom... 27. Jan 2015

Und uns ist unerklärlich, warum es für ihn unerklärlich ist. Aber man könnte es ja zu...

Marc2 27. Jan 2015

https://www.virustotal.com/en/file...


Folgen Sie uns
       


Pubg Global Invitational 2018 - Report von Golem.de

20 Teams, jeweils vier Spieler, fünf Tage und zwei Millionen US-Dollar Preisgeld: Das Pubg Global Invitational 2018 in Berlin hat E-Sport auf höchstem Niveau geboten. Golem.de hat mit dem Veranstalter und mit Zuschauern gesprochen.

Pubg Global Invitational 2018 - Report von Golem.de Video aufrufen
Elektromobilität: Regierung bremst bei Anspruch auf private Ladesäulen
Elektromobilität
Regierung bremst bei Anspruch auf private Ladesäulen

Die Anschaffung eines Elektroautos scheitert häufig an der fehlenden Lademöglichkeit am heimischen Parkplatz. Doch die Bundesregierung will vorerst keinen eigenen Gesetzesentwurf für einen Anspruch von Wohnungseigentümern und Mietern vorlegen.
Ein Bericht von Friedhelm Greis

  1. TU Graz Der Roboter als E-Tankwart
  2. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen
  3. Elektroautos Daimler-Betriebsrat will Akkuzellen aus Europa

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Spezial Unabhängige Riesen und Ritter für Nintendo Switch
  2. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  3. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Chang'e 4 China stellt neuen Mondrover vor
  2. Raumfahrt Cubesats sollen unhackbar werden
  3. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an

    •  /