Symantec warnt vor hoch entwickelter Spionagesoftware Regin

Symantec hat eine neue hoch entwickelte Spionagesoftware entdeckt. Die Regin genannte Malware ist demnach schon seit 2008 im Umlauf und wird seitdem gegen Regierungen, Firmen und auch Einzelpersonen eingesetzt. Sie benutzt offenbar verschiedene Techniken, um sich einer Entdeckung durch Sicherheitsanwendungen zu entziehen.

Den für die Entwicklung der „Tarnfunktionen“ benötigten Aufwand sieht Symantec als Hinweis dafür an, dass hinter Regin ein Staat steckt, ohne jedoch einen Verdacht zu den Hintermännern zu äußern. Die Schadsoftware sei so gestaltet worden, dass sie für eine langfristige Massenüberwachung geeignet sei.

„Regins Entwickler haben einen erheblichen Aufwand betrieben, um es besonders unauffällig zu machen“, heißt es in einem Blogeintrag von Symantec. Das sehr zurückhaltende Vorgehen der Angreifer erlaube den Einsatz in mehrjährigen Spionage-Kampagnen. „Selbst wenn es entdeckt wurde, ist es sehr schwer herauszufinden, was es tut.“

Darüber hinaus lässt sich Regin laut Symantec beliebig anpassen und für verschiedenste Zwecke einsetzen. Als Beispiele nennt das Unternehmen den Diebstahl von Daten und Passwörtern und die Steuerung von Eingabegeräten. Regin kann aber auch Screenshots anfertigen, Netzwerkverkehr überwachen und E-Mails aus Exchange-Datenbanken analysieren.

Die Schadsoftware wurde unter anderem gegen Internet Service Provider und Telekommunikationsfirmen eingesetzt, um Anrufe und Kommunikation in deren Infrastruktur zu überwachen. Andere Ziele waren laut Symantec Fluglinien, der Energiesektor, Forschungseinrichtungen und die Gastronomiebranche.

Mehr als die Hälfte aller Infektionen hat Symantec in Russland und Saudi Arabien entdeckt. Es waren aber auch Nutzer in Irland, Mexiko und Indien betroffen.

Regin infiziert ein System in fünf Schritten. Nur der erste Schritt ist Symantec zufolge nicht versteckt und nicht verschlüsselt. Alle weiteren Stufen enthalten demnach wenige Informationen über die gesamte Struktur der Malware. Erst nach der Analyse aller fünf Teile sei es gelungen, die tatsächlich von Regin ausgehende Bedrohung zu erfassen. Das Unternehmen schließt nicht aus, dass es noch weitere Komponenten von Regin gibt, die bisher nicht entdeckt wurden.

Der Aufbau von Regin erinnert laut Symantec an Stuxnet und Duqu. Ersteres wurde 2010 gegen das Atomprogramm des Iran eingesetzt. Duqu wiederum gilt als Weiterentwicklung von Stuxnet für Cyberspionage.

Staatlich geförderte Cyberspionage ist ein brisantes Thema, dass auch geeignet ist, den diplomatischen Beziehungen zwischen zwei Ländern zu schaden. Die USA und China werfen sich immer wieder gegenseitig vor, elektronische Spionage zu betreiben. Aus Unterlagen des Whistleblowers Edward Snowden geht zudem hervor, dass die Vereinigten Staaten sogar eigene Verbündete ausspioniert haben.

Regin besteht aus mehreren Komponenten, die sich mithilfe von Verschlüsselung und Tarntechniken einer Entdeckung durch Sicherheitssoftware entziehen (Bild: Symantec).

[mit Material von Steven Musil, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ransomware-Gruppe FunkSec setzt auf KI-gestützte Angriffe

Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…

20 Stunden ago

Weltweiter PC-Markt wächst 2024 um 1,3 Prozent

Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…

23 Stunden ago

Angreifer schmuggeln Malware in Bilder auf Website

Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.

1 Tag ago

Microsoft beendet Support für Office für Windows 10 ebenfalls im Oktober

Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…

1 Tag ago

Chrome 132 stopft 16 Sicherheitslöcher

Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Chrome 132…

2 Tagen ago

DeepDLL gegen verseuchte DLL-Dateien

Check Point führt KI-Modell ein, um Zero Day-DLL-Bedrohungen abzuwehren / Missbrauch von DLL-Dateien beliebte Methode…

2 Tagen ago