Malware im Kanzleramt stammte mutmaßlich von NSA

Die Malware Regin hat wahrscheinlich der US-Auslandsgeheimdienst National Security Angency (NSA) entwickelt. Indizien dafür legen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blogbeitrag vor. Die Spionage-Software wurde bereits beim belgischen Telekommunikationsanbieter Belgacom, der EU-Kommission und einer Mitarbeiterin des Bundeskanzleramts entdeckt.

Identische Modul-Aufrufe in Regin und Qwerty (Bild: Kaspersky)

Im Januar hatte das Nachrichtenmagazin „Der Spiegel“ aus dem Fundus von Edward Snowden Quellcode eines Schadprogramms namens „Qwerty“ veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters haben diesen Quellcode mit anderen Schädlingen verglichen und fanden große Übereinstimmungen mit Regin.

Qwerrty bestehe aus drei Teilen plus Konfigurationsdateien, und das Modul 20123.sys sei besonders interessant, erklären die Forscher. Es sei der Kernel-Mode-Bestandteil des Keyloggers, der alle Tastatureingaben aufzeichnet. Teile des Quelltexts erscheinen auch in einem Plug-in für Regin namens 50251. Der gemeinsame Code beider dient überwiegend dem Aufruf der Tastaturtreiber.

Das ist aber nicht alles: Die Aufrufe in beiden Programmen gelten überwiegend Plug-ins aus dem gleichen Paket, mit einer Ausnahme: Ein Code-Element, das sowohl Teil von Qwerty 20123 als auch von Regin 50251 ist, ruft das Plug-in 50225 auf, das sich im virtuellen Dateisystem von Regin findet. Es ist für Kernel-Mode Hooking zuständig. Qwerty kann folglich nur als Teil der Regin-Plattform operieren.

Als weiteren Beleg führen Raiu und Soumenkov den Code an, den beide Module für den Export von Funktionen verwenden. Er referenziert Plug-ins mit ihren Nummern innerhalb der Software-Plattform; diese Plattform ist also identisch und Qwerty für den Einsatz in Regin gedacht.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der von Snowden beigebrachte Code Qwerty ein Teil der Regin-Plattform ist. „Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern benötigt die Kernel-Mode-Hooking-Funktionen des Regin-Moduls 50225. Bedenkt man die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand dies ohne Zugriff auf den Quelltext kopiert haben könnte. Wir glauben daher, dass die Entwickler von Regin und Qwerty identisch sind oder zumindest zusammengearbeitet haben.“

Verteilung der Regin-Ziele weltweit: Länder, in denen die NSA spioniert? (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde, entspricht den Aufklärungszielen der Five-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schadsoftware entdeckt. Dabei wurden tatsächlich Netzwerke gezählt, die Zahl der infizierten PCs war also deutlich höher, erläutert Kaspersky. Laut den Sicherheitsexperten ist der Schädling durchaus mit Stuxnet zu vergleichen – und auch ähnlich gefährlich.

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plug-ins in einem verschlüsselten und komprimierten Virtual File System auf dem angegriffenen Rechnern gespeichert werden. „Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plug-ins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es, den Speicher zu scannen oder die VFSes zu dekodieren.“

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

3 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

3 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

4 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

4 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago