Symantec entdeckt hoch entwickelte Spähsoftware Regin

PolitikSicherheitÜberwachungVirus
Symantec (Grafik: Symantec)

Sie kursiert offenbar bereits seit 2008. Ihre Tarnfunktionen ermöglichen einen Einsatz in langjährigen Spionage-Kampagnen. Zu den Zielen zählen unter anderem Internet Service Provider sowie Telekommunikationsanbieter.

Symantec warnt vor einer neuen hoch entwickelten Spionagesoftware. Die Regin genannte Malware ist demnach bereits seit 2008 im Umlauf und wird seither gegen Regierungen, Unternehmen und auch Einzelpersonen eingesetzt. Offenbar verwendet sie diverse Techniken, um sich vor Sicherheitssoftware verbergen zu können.

Symantec Logo (Logo: Symantec)

Den für die Entwicklung der “Tarnfunktionen” benötigten Aufwand betrachtet Symantec als Hinweis darauf, dass hinter Regin ein Staat steht. Einen konkreten Verdacht zu den Hintermännern äußert das Unternehmen jedoch nicht. Die Schadsoftware sei so gestaltet worden, dass sie sich für eine langfristige Massenüberwachung eigne.

“Regins Entwickler haben einen erheblichen Aufwand betrieben, um es besonders unauffällig zu machen”, heißt es in einem Blogeintrag von Symantec. Das sehr zurückhaltende Vorgehen der Angreifer erlaube den Einsatz in mehrjährigen Spionage-Kampagnen. “Selbst wenn es entdeckt wurde, ist es sehr schwer herauszufinden, was es tut.”

Überdies lässt sich Regin Symantec zufolge nach Belieben anpassen und für verschiedenste Zwecke nutzen. Als Beispiele nennt das Unternehmen den Diebstahl von Daten und Passwörtern sowie die Steuerung von Eingabegeräten. Regin kann aber auch Screenshots erstellen, den Netzwerkverkehr überwachen und E-Mails aus Exchange-Datenbanken auswerten.

Die Schadsoftware wurde unter anderem gegen Internet Service Provider und Telekommunikationsfirmen eingesetzt, um Anrufe und Kommunikation in deren Infrastruktur auszuspähen. Zu anderen Zielen gehörten laut Symantec Fluglinien, der Energiesektor, Forschungseinrichtungen sowie die Gastronomiebranche. Über die Hälfte aller Infektionen hat Symantec in Russland und Saudi Arabien entdeckt. Es waren aber auch Anwender in Irland, Mexiko und Indien betroffen.

Regin infiziert ein System in fünf Schritten. Nur der erste Schritt ist nach Angaben von Symantec nicht versteckt und überdies unverschlüsselt. Alle weiteren Stufen enthalten demnach wenige Informationen über die Gesamtstruktur der Malware. Erst nach der Analyse aller fünf Teile sei es gelungen, die tatsächlich von Regin ausgehende Bedrohung zu erfassen.

Das Unternehmen schließt nicht aus, dass noch weitere, bislang unentdeckte Komponenten von Regin existieren. Der Aufbau von Regin erinnert Symantec zufolge an Stuxnet und Duqu. Ersteres wurde 2010 gegen das Atomprogramm des Iran eingesetzt. Duqu gilt indes als Stuxnet-Weiterentwicklung für Cyberspionage.

Staatlich geförderte Cyberspionage ist ein brisantes Thema, das sich auch eignet, um den diplomatischen Beziehungen zwischen zwei Ländern zu schaden. Die USA und China werfen sich immer wieder gegenseitig vor, elektronische Spionage zu betreiben. Aus Unterlagen des Whistleblowers Edward Snowden geht außerdem hervor, dass die Vereinigten Staaten selbst eigene Verbündete wie Deutschland ausspioniert haben.

symantec-regin (Bild: Symantec)
Regin setzt sich aus mehreren Komponenten zusammen, die sich anhand von Verschlüsselung und Tarntechniken einer Entdeckung durch Security-Software entziehen (Bild: Symantec).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen