Regin (Trojanisches Pferd)
Regin ist eine Spionagesoftware, die im November 2014 großes Medienecho fand. Die Softwareunternehmen Kaspersky Lab und Symantec veröffentlichten beide Dokumente, in denen Regin analysiert wird. Regin hat neben Einzelpersonen gezielt Behörden, Telekommunikationsfirmen und Forschungsunternehmen ausgespäht. Betroffen waren vor allem Russland und Saudi-Arabien, aber auch Länder in Westeuropa, darunter Deutschland und Österreich.[1][2] Der Name wurde der Software von Microsoft-Sicherheitsexperten gegeben, in Anlehnung an den gleichnamigen Zwerg aus der nordischen Mythologie.[3] Im Januar 2015 wurde bekannt, dass Regin ein NSA-Werkzeug ist, das die „Five-Eyes“-Geheimdienste nutzen.[4]
Aufbau
Regin befällt Computer, die Microsoft Windows als Betriebssystem nutzen. Die Infektionswege sind noch nicht vollständig geklärt, vermutlich wird die Basissoftware zuerst mittels Zero-Day-Exploits oder Man-in-the-Middle-Angriffen auf den Zielrechner gebracht. Ist die Infektion erfolgt, baut sich die Software in fünf Stufen auf: Stufe 1 ist ein Treiber, der als einziger als Datei vorliegt. Er lädt andere Treiber, die verschlüsselt sind und verteilt entweder als alternativer Datenstrom, in der Windows-Registry oder in nicht zugewiesenen Festplattenbereichen liegen. Die Stufe 2 lädt einen weiteren Treiber, Stufe 3, der das eigentliche Malware-Framework startet und ein virtuelles Dateisystem einrichtet. Stufe 4 ist ein Modulmanager, der dann aus dem virtuellen Dateisystem Stufe 5, eine maßgeschneiderte Auswahl von etwa 50 Modulen zur Ausspähung, ausführt und nachladen kann. Die Kommunikation dieser Module nach außen erfolgt über das Diagnoseprotokoll ICMP, eigene TCP-/UDP-Anwendungsprotokolle oder als HTTP-Cookie (z. B. Tarnung als Sitzungs-ID).[1][2]
Die hohe Komplexität der Spionagesoftware lässt den Schluss zu, dass staatliche Geheimdienste die Auftraggeber und Betreiber sind. Als Kandidaten werden in den Medien die US-amerikanische NSA und das britische GCHQ genannt.[5] Nach Spiegel-Recherchen vom Januar 2015 bestehen daran „kaum noch Zweifel“.[4]
Geschichte
Regin wurde erstmals ab etwa 2008 aktiv. Teile der Software scheinen bereits 2003 entstanden zu sein. 2011 wurde Regin aus dem Netz zurückgezogen, um 2013 in einer neuen Version wieder aufzutauchen.[6]
Öffentlich als Opfer der Spionagesoftware bekannt wurden der belgische Telefonanbieter Belgacom, der belgische Kryptograph Jean-Jacques Quisquater[5], die EU-Kommission in Brüssel[6] und Ende 2014 eine Referatsleiterin im deutschen Bundeskanzleramt[7]. Im letzteren Fall hat die Bundesanwaltschaft ein weiteres Ermittlungsverfahren gegen Unbekannt eingeleitet.[8]
Erste Ansätze einer Erkennung des Virus boten G Data CyberDefense und der IT-Sicherheitsexperte Florian Roth mit Loki ("Scanner for Simple Indicators of Compromise") an.[9]
Einzelnachweise
- Regin: Top-tier espionage tool enables stealthy surveillance. SymantecSecurity Response, Version 1.0, 24. November 2014 (englisch)
- The Regin Platform: Nation-State Ownage of GSM Networks (Memento des Originals vom 27. November 2014 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. . Kaspersky Lab Report, Version 1.0, 24. November 2014 (englisch)
- Benedikt Fuest: Ein Computervirus, so mächtig wie keines zuvor. In: Welt Online. 24. November 2014, abgerufen am 2. Januar 2014.
- Marcel Rosenbach, Hilmar Schmundt und Christian Stöcker: SPIEGEL-Veröffentlichung: Experten enttarnen Trojaner "Regin" als NSA-Werkzeug. In: Spiegel Online. 27. Januar 2015, abgerufen am 27. Januar 2015.
- Spionage-Software: USA und Briten sollen Trojaner Regin entwickelt haben. Spiegel Online, 25. November 2014
- Kim Zetter: Researchers Uncover Government Spy Tool Used to Hack Telecoms and Belgian Cryptographer. Wired, 24. November 2014 (englisch)
- Spionagesoftware auf Computer im Kanzleramt. Die Zeit, 29. Dezember 2014
- "Nach den inzwischen eingestellten Ermittlungen wegen des Lauschangriffs auf das Handy von Bundeskanzlerin Angela Merkel (CDU) wäre dies das zweite Verfahren in Deutschland im Zusammenhang mit der NSA-Affäre." (AFP-Meldung)
- Spionage-Trojaner: Kostenloses Check-Tool für Regin-Infektionen - heise Security