Bericht: USA und Großbritannien stecken hinter Regin-Malware

Die Geheimdienste der USA und Großbritanniens sind offenbar für die hoch entwickelte Spionagesoftware Regin verantwortlich, die Symantec am Wochenende beschrieben hat. Das berichtet The Intercept unter Berufung auf Aussagen von Sicherheitsexperten sowie technischen Analysen der Malware. Demnach wurde Regin unter anderem gegen Ziele in der Europäischen Union eingesetzt.

Dazu gehört Belgiens größte Telefongesellschaft Belgacom, zu deren Kunden wiederum die EU-Kommission, der Europarat und das europäische Parlament gehören. Dass der britische Geheimdienst für Angriffe auf Belgacom verantwortlich ist und dafür auch Malware benutzt hat, meldete Der Spiegel im September 2013. Die Schadsoftware an sich war bisher allerdings noch nicht bekannt.

Dem neuen Bericht zufolge ist der britische Geheimdienst Government Communications Headquarters im Rahmen der „Operation Socialist“ 2010 gegen Belgacom vorgegangen. Er soll gezielt Ingenieure des Unternehmens auf gefälschte LinkedIn-Profile gelockt haben, über die die Malware verbreitet wurde.

Laut Computerworld teilte Symantec am Montag mit, es habe im Code von Regin keinerlei Hinweise auf seine Herkunft gefunden. „Wir haben keine ausreichenden Beweise, um Regin einem bestimmten Staat oder einer Behörde zuzuordnen“, zitiert Computerworld aus der Stellungnahme von Symantec.

Inzwischen haben auch Kasperky, F-Secure und andere Sicherheitsunternehmen ihre Erkenntnisse über Regin veröffentlicht. „Wir glauben, dass diese Malware zur Abwechslung mal nicht aus Russland oder China kommt“, schreibt Antti Tikkanen, Director of Security Response bei F-Secure, in einem Blogeintrag.

Darauf deuten auch im Code hinterlassene Klarnamen für einzelne Module: „Foggybottom“, „Hopscotch“, „Legspin“, „Salvagerbbit“ oder „Starbucks“ darf man eher Programmierern aus dem angelsächsischen Sprachraum zuschreiben. Auch die Liste der Opfer – die meisten von ihnen in Europa, Russland und dem Mittleren Osten, keines jedoch in den USA – deutet auf einen westlichen Geheimdienst als Urheber von Regin hin.

F-Secure ist eine frühe Variante von Regin schon seit 2009 bekannt. Es habe die Malware auf einem Server eines nordeuropäischen Kunden gefunden, der gelegentlich mit einem Blue Screen of Death abgestürzt sei. Ursache sei ein Treiber gewesen, den F-Secure schließlich als Rootkit beziehungsweise frühe Variante von Regin identifiziert habe.

Symantec selbst hatte Regin vor rund einem Jahr entdeckt und die Malware seitdem analysiert. Sie besteht aus mindestens fünf Komponenten, die ein System schrittweise infizieren. Die einzelnen Stufen enthalten demnach wenige Informationen über die gesamte Struktur der Malware. Symantec schließt nicht aus, dass es noch weitere Komponenten von Regin gibt, die noch nicht entdeckt wurden.

Eine dieser Komponenten ist Kaspersky zufolge in der Lage, GSM-Netzwerke auszuspähen. Das Unternehmen entdeckte bei seiner Analyse Log-Dateien eines Base Station Controller, der wiederum GSM-Basisstationen steuert und für die Weitergabe von Telefonverbindungen verantwortlich ist. Die Log-Dateien stammen allerdings nur aus einem sehr kurzen Zeitraum von rund einem Monat, weswegen Kaspersky vermutet, dass das Ziel des Angriffs die Schadsoftware entfernen konnte. Möglicherweise sei die Malware aber auch so verändert worden, dass sie Log-Dateien nicht mehr lokal speichert, so Kasperky weiter.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.