Malware im Kanzleramt stammte mutmaßlich von NSA

Der aus den Unterlagen von Edward Snowden stammende Quelltext Qwerty ist einer Analyse von Kaspersky zufolge für den Einsatz innerhalb von Regin konzipiert. Regin aber wurde schon bei Belgacom, der EU-Kommission und einer Mitarbeiterin des Bundeskanzleramts entdeckt.

Die Malware Regin hat wahrscheinlich der US-Auslandsgeheimdienst National Security Angency (NSA) entwickelt. Indizien dafür legen die beiden Kaspersky-Sicherheitsexperten Costin Raiu und Igor Soumenkov jetzt in einem Blogbeitrag vor. Die Spionage-Software wurde bereits beim belgischen Telekommunikationsanbieter Belgacom, der EU-Kommission und einer Mitarbeiterin des Bundeskanzleramts entdeckt.

Identische Modul-Aufrufe in Regin und Qwerty (Bild: Kaspersky)Identische Modul-Aufrufe in Regin und Qwerty (Bild: Kaspersky)

Im Januar hatte das Nachrichtenmagazin „Der Spiegel“ aus dem Fundus von Edward Snowden Quellcode eines Schadprogramms namens „Qwerty“ veröffentlicht. Die beiden Mitarbeiter des russischen Sicherheitsanbieters haben diesen Quellcode mit anderen Schädlingen verglichen und fanden große Übereinstimmungen mit Regin.

Qwerrty bestehe aus drei Teilen plus Konfigurationsdateien, und das Modul 20123.sys sei besonders interessant, erklären die Forscher. Es sei der Kernel-Mode-Bestandteil des Keyloggers, der alle Tastatureingaben aufzeichnet. Teile des Quelltexts erscheinen auch in einem Plug-in für Regin namens 50251. Der gemeinsame Code beider dient überwiegend dem Aufruf der Tastaturtreiber.

Das ist aber nicht alles: Die Aufrufe in beiden Programmen gelten überwiegend Plug-ins aus dem gleichen Paket, mit einer Ausnahme: Ein Code-Element, das sowohl Teil von Qwerty 20123 als auch von Regin 50251 ist, ruft das Plug-in 50225 auf, das sich im virtuellen Dateisystem von Regin findet. Es ist für Kernel-Mode Hooking zuständig. Qwerty kann folglich nur als Teil der Regin-Plattform operieren.

Als weiteren Beleg führen Raiu und Soumenkov den Code an, den beide Module für den Export von Funktionen verwenden. Er referenziert Plug-ins mit ihren Nummern innerhalb der Software-Plattform; diese Plattform ist also identisch und Qwerty für den Einsatz in Regin gedacht.

Zusammenfassend erklären die Forscher, dass sich deutlich zeige, dass der von Snowden beigebrachte Code Qwerty ein Teil der Regin-Plattform ist. „Der Qwerty-Keylogger funktioniert nicht als eigenständiges Modul, sondern benötigt die Kernel-Mode-Hooking-Funktionen des Regin-Moduls 50225. Bedenkt man die extreme Komplexität der Regin-Plattform, gibt es praktisch keine Möglichkeit, dass jemand dies ohne Zugriff auf den Quelltext kopiert haben könnte. Wir glauben daher, dass die Entwickler von Regin und Qwerty identisch sind oder zumindest zusammengearbeitet haben.“

Verteilung der Regin-Ziele weltweit (Bild: Kaspersky)Verteilung der Regin-Ziele weltweit: Länder, in denen die NSA spioniert? (Bild: Kaspersky)

Bereits als der Spionageübergriff durch Regin auf das Kanzleramt bekannt wurde, berichtete das britische Magazin The Intercept, dass die Malware auf britische und US-amerikanische Geheimdienste zurückgehe. Auch die Regionen, in denen die Malware bisher entdeckt wurde, entspricht den Aufklärungszielen der Five-Eyes-Geheimdienste. Stand November 2014 hatte Kaspersky in 14 Ländern insgesamt 27 Opfer der hochentwickelten Schadsoftware entdeckt. Dabei wurden tatsächlich Netzwerke gezählt, die Zahl der infizierten PCs war also deutlich höher, erläutert Kaspersky. Laut den Sicherheitsexperten ist der Schädling durchaus mit Stuxnet zu vergleichen – und auch ähnlich gefährlich.

Bei der Analyse des Codes habe sich zudem gezeigt, dass die Regin-Plug-ins in einem verschlüsselten und komprimierten Virtual File System auf dem angegriffenen Rechnern gespeichert werden. „Das bedeutet, dass diese nicht direkt auf dem Recher des Opfers existieren. Von hier aus lädt und startet der Platform Dispatcher die Plug-ins beim Start. Der einzige Weg, den Keylogger zu fassen, ist es, den Speicher zu scannen oder die VFSes zu dekodieren.“

[mit Material von Martin Schindler, silicon.de]

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Kasperksy, Malware, National Security Agency, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Malware im Kanzleramt stammte mutmaßlich von NSA

Kommentar hinzufügen
  • Am 29. Januar 2015 um 0:27 von Hafenluemmel

    „Either you are with us…“ Die Amerikaner haben das längst einseitig entschieden. Das darf man bei den TTIP-Verhandlungen ruhig im Hinterkopf haben.

    • Am 29. Januar 2015 um 8:45 von Baby

      Hallo

      Wenn man die Schulden der usa denkt
      ist doch klar wieso die usa das machen
      Wirtschaft Spionage als terror zu
      erklären und dann kann man alles
      Machen was die wollen

      Mfg

  • Am 29. Januar 2015 um 12:09 von Judas Ischias

    Wer solche Freunde hat, braucht keine Feinde. ;-D

    Ich bin aber ganz sicher, der Obama hat nichts davon gewusst und nicht in Auftrag gegeben. ;)

    Das stammt garantiert noch alles von Georg W. Bush.

    Ach nein, der war es ja auch nicht. ;)

    Vielleicht von seinem Vater?

    Oder doch erst von Clinton?

    Oder sogar viele Präsidenten davor?

    Auf jeden Fall fehlen mir die entsprechenden Reaktionen „unserer“ hust hust, Regierung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *