Bericht: USA und Großbritannien stecken hinter Regin-Malware

Die Geheimdienste der USA und Großbritanniens sind offenbar für die hoch entwickelte Spionagesoftware Regin verantwortlich, die Symantec am Wochenende beschrieben hat. Das berichtet The Intercept unter Berufung auf Aussagen von Sicherheitsexperten sowie technischen Analysen der Malware. Demnach wurde Regin unter anderem gegen Ziele in der Europäischen Union eingesetzt.

Dazu gehört Belgiens größte Telefongesellschaft Belgacom, zu deren Kunden wiederum die EU-Kommission, der Europarat und das europäische Parlament gehören. Dass der britische Geheimdienst für Angriffe auf Belgacom verantwortlich ist und dafür auch Malware benutzt hat, meldete Der Spiegel im September 2013. Die Schadsoftware an sich war bisher allerdings noch nicht bekannt.

Dem neuen Bericht zufolge ist der britische Geheimdienst Government Communications Headquarters im Rahmen der „Operation Socialist“ 2010 gegen Belgacom vorgegangen. Er soll gezielt Ingenieure des Unternehmens auf gefälschte LinkedIn-Profile gelockt haben, über die die Malware verbreitet wurde.

Laut Computerworld teilte Symantec am Montag mit, es habe im Code von Regin keinerlei Hinweise auf seine Herkunft gefunden. „Wir haben keine ausreichenden Beweise, um Regin einem bestimmten Staat oder einer Behörde zuzuordnen“, zitiert Computerworld aus der Stellungnahme von Symantec.

Inzwischen haben auch Kasperky, F-Secure und andere Sicherheitsunternehmen ihre Erkenntnisse über Regin veröffentlicht. „Wir glauben, dass diese Malware zur Abwechslung mal nicht aus Russland oder China kommt“, schreibt Antti Tikkanen, Director of Security Response bei F-Secure, in einem Blogeintrag.

Darauf deuten auch im Code hinterlassene Klarnamen für einzelne Module: „Foggybottom“, „Hopscotch“, „Legspin“, „Salvagerbbit“ oder „Starbucks“ darf man eher Programmierern aus dem angelsächsischen Sprachraum zuschreiben. Auch die Liste der Opfer – die meisten von ihnen in Europa, Russland und dem Mittleren Osten, keines jedoch in den USA – deutet auf einen westlichen Geheimdienst als Urheber von Regin hin.

F-Secure ist eine frühe Variante von Regin schon seit 2009 bekannt. Es habe die Malware auf einem Server eines nordeuropäischen Kunden gefunden, der gelegentlich mit einem Blue Screen of Death abgestürzt sei. Ursache sei ein Treiber gewesen, den F-Secure schließlich als Rootkit beziehungsweise frühe Variante von Regin identifiziert habe.

Symantec selbst hatte Regin vor rund einem Jahr entdeckt und die Malware seitdem analysiert. Sie besteht aus mindestens fünf Komponenten, die ein System schrittweise infizieren. Die einzelnen Stufen enthalten demnach wenige Informationen über die gesamte Struktur der Malware. Symantec schließt nicht aus, dass es noch weitere Komponenten von Regin gibt, die noch nicht entdeckt wurden.

Eine dieser Komponenten ist Kaspersky zufolge in der Lage, GSM-Netzwerke auszuspähen. Das Unternehmen entdeckte bei seiner Analyse Log-Dateien eines Base Station Controller, der wiederum GSM-Basisstationen steuert und für die Weitergabe von Telefonverbindungen verantwortlich ist. Die Log-Dateien stammen allerdings nur aus einem sehr kurzen Zeitraum von rund einem Monat, weswegen Kaspersky vermutet, dass das Ziel des Angriffs die Schadsoftware entfernen konnte. Möglicherweise sei die Malware aber auch so verändert worden, dass sie Log-Dateien nicht mehr lokal speichert, so Kasperky weiter.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ransomware-Gruppe FunkSec setzt auf KI-gestützte Angriffe

Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…

21 Stunden ago

Weltweiter PC-Markt wächst 2024 um 1,3 Prozent

Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…

24 Stunden ago

Angreifer schmuggeln Malware in Bilder auf Website

Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.

1 Tag ago

Microsoft beendet Support für Office für Windows 10 ebenfalls im Oktober

Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…

1 Tag ago

Chrome 132 stopft 16 Sicherheitslöcher

Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Chrome 132…

2 Tagen ago

DeepDLL gegen verseuchte DLL-Dateien

Check Point führt KI-Modell ein, um Zero Day-DLL-Bedrohungen abzuwehren / Missbrauch von DLL-Dateien beliebte Methode…

2 Tagen ago