Symantec warnt vor hoch entwickelter Spionagesoftware Regin

Symantec hat eine neue hoch entwickelte Spionagesoftware entdeckt. Die Regin genannte Malware ist demnach schon seit 2008 im Umlauf und wird seitdem gegen Regierungen, Firmen und auch Einzelpersonen eingesetzt. Sie benutzt offenbar verschiedene Techniken, um sich einer Entdeckung durch Sicherheitsanwendungen zu entziehen.

Den für die Entwicklung der „Tarnfunktionen“ benötigten Aufwand sieht Symantec als Hinweis dafür an, dass hinter Regin ein Staat steckt, ohne jedoch einen Verdacht zu den Hintermännern zu äußern. Die Schadsoftware sei so gestaltet worden, dass sie für eine langfristige Massenüberwachung geeignet sei.

„Regins Entwickler haben einen erheblichen Aufwand betrieben, um es besonders unauffällig zu machen“, heißt es in einem Blogeintrag von Symantec. Das sehr zurückhaltende Vorgehen der Angreifer erlaube den Einsatz in mehrjährigen Spionage-Kampagnen. „Selbst wenn es entdeckt wurde, ist es sehr schwer herauszufinden, was es tut.“

Darüber hinaus lässt sich Regin laut Symantec beliebig anpassen und für verschiedenste Zwecke einsetzen. Als Beispiele nennt das Unternehmen den Diebstahl von Daten und Passwörtern und die Steuerung von Eingabegeräten. Regin kann aber auch Screenshots anfertigen, Netzwerkverkehr überwachen und E-Mails aus Exchange-Datenbanken analysieren.

Die Schadsoftware wurde unter anderem gegen Internet Service Provider und Telekommunikationsfirmen eingesetzt, um Anrufe und Kommunikation in deren Infrastruktur zu überwachen. Andere Ziele waren laut Symantec Fluglinien, der Energiesektor, Forschungseinrichtungen und die Gastronomiebranche.

Mehr als die Hälfte aller Infektionen hat Symantec in Russland und Saudi Arabien entdeckt. Es waren aber auch Nutzer in Irland, Mexiko und Indien betroffen.

Regin infiziert ein System in fünf Schritten. Nur der erste Schritt ist Symantec zufolge nicht versteckt und nicht verschlüsselt. Alle weiteren Stufen enthalten demnach wenige Informationen über die gesamte Struktur der Malware. Erst nach der Analyse aller fünf Teile sei es gelungen, die tatsächlich von Regin ausgehende Bedrohung zu erfassen. Das Unternehmen schließt nicht aus, dass es noch weitere Komponenten von Regin gibt, die bisher nicht entdeckt wurden.

Der Aufbau von Regin erinnert laut Symantec an Stuxnet und Duqu. Ersteres wurde 2010 gegen das Atomprogramm des Iran eingesetzt. Duqu wiederum gilt als Weiterentwicklung von Stuxnet für Cyberspionage.

Staatlich geförderte Cyberspionage ist ein brisantes Thema, dass auch geeignet ist, den diplomatischen Beziehungen zwischen zwei Ländern zu schaden. Die USA und China werfen sich immer wieder gegenseitig vor, elektronische Spionage zu betreiben. Aus Unterlagen des Whistleblowers Edward Snowden geht zudem hervor, dass die Vereinigten Staaten sogar eigene Verbündete ausspioniert haben.

Regin besteht aus mehreren Komponenten, die sich mithilfe von Verschlüsselung und Tarntechniken einer Entdeckung durch Sicherheitssoftware entziehen (Bild: Symantec).

[mit Material von Steven Musil, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de