USA und Großbritannien sind offenbar für Regin-Malware verantwortlich

Offenbar sind die Geheimdienste der USA und Großbritanniens für die hoch entwickelte Spionagesoftware Regin verantwortlich, die Symantec am Wochenende beschrieben und davor gewarnt hatte. Das meldet The Intercept unter Berufung auf Aussagen von Sicherheitsexperten sowie auf Basis technischer Analysen der Malware. Demzufolge wurde Regin unter anderem gegen Ziele in der Europäischen Union eingesetzt.

Hierzu zählt Belgiens größte Telefongesellschaft Belgacom, zu deren Kunden wiederum die EU-Kommission, der Europarat sowie das europäische Parlament gehören. Dass der britische Geheimdienst für Attacken auf Belgacom verantwortlich ist und dafür auch Malware eingesetzt hat, berichtete Der Spiegel im September 2013. Die Schadsoftware an sich war bislang jedoch noch unbekannt.

Laut dem neuen Bericht hat der britische Geheimdienst GCHQ (Government Communications Headquarters) im Zuge der “Operation Socialist” 2010 Maßnahmen gegen Belgacom ergriffen. Er soll gezielt Ingenieure des Unternehmens auf gefälschte LinkedIn-Profile gelockt haben, über die die Malware dann verbreitet wurde.

Computerworld zufolge teilte Symantec am Montag mit, es habe im Quelltext von Regin keinerlei Hinweise auf seine Herkunft gefunden. “Wir haben keine ausreichenden Beweise, um Regin einem bestimmten Staat oder einer Behörde zuzuordnen”, zitiert Computerworld aus der Stellungnahme von Symantec.

Mittlerweile haben auch Kasperky, F-Secure sowie weitere Sicherheitsunternehmen ihre Erkenntnisse über Regin preisgegeben. “Wir glauben, dass diese Malware zur Abwechslung mal nicht aus Russland oder China kommt”, schreibt Antti Tikkanen, Director of Security Response bei F-Secure, in einem Blogeintrag.

Hinweise darauf geben auch im Code hinterlassene Klarnamen für einzelne Module: “Foggybottom”, “Hopscotch”, “Legspin”, “Salvagerbbit” oder “Starbucks” lassen sich eher Programmierern aus dem angelsächsischen Sprachraum zuordnen. Auch die Liste der Opfer – die Mehrzahl von ihnen in Europa, Russland und dem Mittleren Osten, jedoch kein Betroffener in den USA – deutet auf einen westlichen Geheimdienst als Schöpfer der Regin-Malware hin.

Dem finnischen Security-Spezialisten F-Secure ist eine frühe Version von Regin bereits seit 2009 bekannt. Das Unternehmen habe die Malware auf dem Server eines nordeuropäischen Kunden entdeckt, der gelegentlich mit einem Blue Screen of Death (BSOD) abgestürzt sei. Ursache sei ein Treiber gewesen, den F-Secure schließlich als Rootkit respektive frühe Variante von Regin identifiziert habe.

Symantec selbst hatte Regin vor etwa einem Jahr ausfindig gemacht und die Malware seither analysiert. Sie besteht aus zumindest fünf Komponenten, die ein System sukzessive infizieren. Die einzelnen Infektionsstufen beinhalten allerdings nur wenige Informationen über die Gesamtstruktur der Malware. Symantec schließt nicht aus, dass noch weitere unentdeckte Komponenten von Regin existieren.

Eine dieser Komponenten ist laut Kaspersky dazu fähig, GSM-Netzwerke auszuspionieren. Das Unternehmen entdeckte bei seiner Auswertung Log-Dateien eines Base Station Controllers, der wiederum GSM-Basisstationen steuert und für die Weitergabe von Telefonverbindungen zuständig ist. Die Logfiles stammen jedoch aus einem nur sehr kurzen Zeitraum von knapp einem Monat, weshalb Kaspersky vermutet, dass das Ziel des Angriffs die Schadsoftware löschen konnte. Möglicherweise sei die Malware aber auch so modifiziert worden, dass sie Log-Dateien nicht mehr lokal speichert, so Kasperky weiter.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.