Malware im Kanzleramt stammte mutmaßlich von NSA

Die Malware Regin hat wahrscheinlich der US-Auslandsgeheimdienst National Security Angency (NSA) entwickelt. Indizien dafür legen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blogbeitrag vor. Die Spionage-Software wurde bereits beim belgischen Telekommunikationsanbieter Belgacom, der EU-Kommission und einer Mitarbeiterin des Bundeskanzleramts entdeckt.

Identische Modul-Aufrufe in Regin und Qwerty (Bild: Kaspersky)

Im Januar hatte das Nachrichtenmagazin „Der Spiegel“ aus dem Fundus von Edward Snowden Quellcode eines Schadprogramms namens „Qwerty“ veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters haben diesen Quellcode mit anderen Schädlingen verglichen und fanden große Übereinstimmungen mit Regin.

Qwerrty bestehe aus drei Teilen plus Konfigurationsdateien, und das Modul 20123.sys sei besonders interessant, erklären die Forscher. Es sei der Kernel-Mode-Bestandteil des Keyloggers, der alle Tastatureingaben aufzeichnet. Teile des Quelltexts erscheinen auch in einem Plug-in für Regin namens 50251. Der gemeinsame Code beider dient überwiegend dem Aufruf der Tastaturtreiber.

Das ist aber nicht alles: Die Aufrufe in beiden Programmen gelten überwiegend Plug-ins aus dem gleichen Paket, mit einer Ausnahme: Ein Code-Element, das sowohl Teil von Qwerty 20123 als auch von Regin 50251 ist, ruft das Plug-in 50225 auf, das sich im virtuellen Dateisystem von Regin findet. Es ist für Kernel-Mode Hooking zuständig. Qwerty kann folglich nur als Teil der Regin-Plattform operieren.

Als weiteren Beleg führen Raiu und Soumenkov den Code an, den beide Module für den Export von Funktionen verwenden. Er referenziert Plug-ins mit ihren Nummern innerhalb der Software-Plattform; diese Plattform ist also identisch und Qwerty für den Einsatz in Regin gedacht.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der von Snowden beigebrachte Code Qwerty ein Teil der Regin-Plattform ist. „Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern benötigt die Kernel-Mode-Hooking-Funktionen des Regin-Moduls 50225. Bedenkt man die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand dies ohne Zugriff auf den Quelltext kopiert haben könnte. Wir glauben daher, dass die Entwickler von Regin und Qwerty identisch sind oder zumindest zusammengearbeitet haben.“

Verteilung der Regin-Ziele weltweit: Länder, in denen die NSA spioniert? (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde, entspricht den Aufklärungszielen der Five-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schadsoftware entdeckt. Dabei wurden tatsächlich Netzwerke gezählt, die Zahl der infizierten PCs war also deutlich höher, erläutert Kaspersky. Laut den Sicherheitsexperten ist der Schädling durchaus mit Stuxnet zu vergleichen – und auch ähnlich gefährlich.

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plug-ins in einem verschlüsselten und komprimierten Virtual File System auf dem angegriffenen Rechnern gespeichert werden. „Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plug-ins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es, den Speicher zu scannen oder die VFSes zu dekodieren.“

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.