• IT-Karriere:
  • Services:

Stuxnet lässt grüßen: Trojaner hat Unternehmen in großem Stil ausgespäht

Sicherheitsexperten haben einen Trojaner entdeckt, der ähnlich wie der Computerwurm Stuxnet agiert und über Jahre Ziele in der Industrie ausgespäht haben soll. Wer hinter der Malware steckt, ist bislang unklar.

Artikel veröffentlicht am , Thorsten Schröder/
Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen.
Regin durchläuft bei seinen Angriffen fünf verschiedene Stufen. (Bild: Symantec)

Ein hochentwickelter Trojaner soll seit Jahren unbemerkt Ziele in der internationalen Industrie ausgespäht haben, darunter Unternehmen aus Energie, Luftfahrt und Forschung. Wie Experten der Sicherheitsfirma Symantec berichten, erinnert die hochentwickelte Malware an frühere von Regierungen entwickelte Trojaner wie Flame, Dugu und Stuxnet. Wer hinter der jetzt entdeckten Malware steckt, ist noch unklar. Die Sicherheitsexperten vermuten aber ein reiches Industrieland als Verantwortlichen.

Regin-Aufbau sehr komplex

Stellenmarkt
  1. Kassenzahnärztliche Vereinigung Baden-Württemberg (KZV BW), Stuttgart
  2. über duerenhoff GmbH, Wien (Österreich)

Die Entwicklung von Regin, wie der Trojaner von Symantec-Experten genannt wurde, habe vermutlich Monate oder Jahre gedauert. Der Trojaner enthalte Dutzende von einzelnen Modulen, die es den Angreifern ermöglichten, die Malware gezielt auf einzelne Ziele zuzuschneiden. Regin bestehe aus fünf verschiedenen Stufen, von denen bis auf die erste alle verschlüsselt seien. Wird die erste Stufe ausgeführt, wird eine Art Dominoeffekt ausgelöst, der die anderen Stufen nacheinander entschlüsselt und in Gang setzt. Erst nachdem Sicherheitsexperten alle fünf Stufen entschlüsselt und analysiert hatten, konnte die Arbeitsweise der Malware verstanden werden.

Aufgrund der gewählten Architektur habe die Malware viele Jahre unbeobachtet von Virenscannern agieren können. Selbst wenn das Vorhandensein von Regin bemerkt werde, sei es äußerst schwierig zu erkennen, was genau die Schadsoftware mache. Symantec war dazu erst in der Lage, nachdem einige Beispieldateien entschlüsselt worden waren. Dabei habe der Trojaner verschiedene Tarnfunktionen bemüht.

Das Ziel waren Internetprovider und Telekomanbieter

Der Trojaner kann nach Angaben von Symantec Screenshots machen, die Kontrolle über die Computermaus eines infizierten Systems übernehmen, Passwörter stehlen, den Traffic überwachen und gelöschte Dateien wiederherstellen. Speziell zugeschnittene Versionen von Regin können unter anderem den Traffic eines Microsoft IIS Servers oder den Base Station Controller eines Mobilfunknetzes auslesen, der die Funkverbindungen in GSM-Netzen überwacht.

Die Sicherheitsexperten vermuten, dass Regin bereits seit mindestens 2008 in mehreren Kampagnen eingesetzt wurde. Die Hälfte aller infizierten Computer soll zu Internetanbietern gehört haben. Laut Symantec haben die Angreifer von dort bestimmte Kunden ausgespäht. 28 Prozent der Trojaner zielten auf Telekomanbieter, über die sich die Hacker vermutlich Zugang zu einzelnen Gesprächen verschafft haben. Bisher sind 100 Infektionen eindeutig identifiziert.

Die bisher gefundenen Infektionen wurden vor allem in zehn Ländern entdeckt. Den größten Anteil machen Russland (28 Prozent) und Saudi-Arabien (24 Prozent) aus, allein auf diese beiden Länder entfallen über die Hälfte aller befallenen Computer. Mit großem Abstand folgen Irland und Mexiko mit einem Anteil von jeweils 9 Prozent. Jeweils weitere 5 Prozent entfallen auf Afghanistan, Belgien, Indien, Iran, Österreich und Pakistan.

Regin soll verschiedene Wege der Verbreitung gewählt haben, etwa über populäre Webseiten, die entsprechend präpariert wurden. Zudem nutzte die Malware eine damals nicht bekannte Sicherheitslücke in Yahoos Instant Messenger.

Malware war knapp zwei Jahre inaktiv

Wie die Angreifer mit den infizierten Computern kommunizieren, ist bislang nicht klar. Ebenfalls unklar ist, welche Regierung hinter der Entwicklung von Regin stecken könnte. 2011 wurde die Nutzung der Malware plötzlich eingestellt, tauchte aber in modifizierter Form 2013 erneut auf. Symantec hat den Trojaner erstmals im Dezember 2013 entdeckt.

Der Computerwurm Stuxnet hatte es in den Jahren 2009 und 2010 zunächst auf iranische Unternehmen abgesehen, die als Zulieferer für das Atomprogramm des Landes galten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 99,99€
  2. 189,90€ (Bestpreis!)
  3. 106,68€ (Bestpreis!)
  4. 94,90€

HubertHans 27. Nov 2014

Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese...

hw75 25. Nov 2014

Naja spätestens jetzt ists klar. Wenn hätts auch gewundert, wenn jemand anderes als die...

hw75 24. Nov 2014

Denn wie jeder weiß werden die Überwachungsprogramme und das Ausnutzen von...

scarecraft 24. Nov 2014

...wissen die das der Trojaner 2011 nicht aktiv war, wenn er erst 2013 entdeckt wurde?

aluu 24. Nov 2014

...hahahah ja genau, wen wollt ihr eigentlich verarschen ? Realsatire vom allerfeinsten.


Folgen Sie uns
       


Apple iPad 7 - Fazit

Apples neues iPad 7 richtet sich an Nutzer im Einsteigerbereich. Im Test von Golem.de schneidet das Tablet aufgrund seines Preis-Leistungs-Verhältnisses sehr gut ab.

Apple iPad 7 - Fazit Video aufrufen
Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

    •  /