Russland und Saudi-Arabien ausgespäht

Regin: Gefährlichster Computer-Trojaner der Welt entdeckt

Trojaner bedroht Datensicherheit

Vorsicht - Die größten Gefahren online

Regin gilt als bisher gefährlichster Trojaner im Netz. (Bild: kebox – Fotolia)

Der nordische Zwergengott Regin gilt als listiger, kleiner Kerl. Genauso verhält sich der von Symantech und Kaspersky entdeckte bis dato gefährlichste Computer-Trojaner der Geschichte. Er erinnert damit an Programme wie Duqu und Stuxnet, die ebenfalls die Datensicherheit gefährdeten. Die im amerikanischen Technikmagazin „Wired“ veröffentlichte Analyse, geht auf eine zweijährige Suchaktion zurück. Sicherheitsforscher Candid Wüest, beschreibt, dass die Entwicklung über eine lange Zeitspanne stattgefunden haben muss – teure Entwicklungskosten inklusive.

Unternehmen, Behörden und Privatleute betroffen

IT-Sicherheitsberater fanden heraus, dass die Software jahrelang Informationen von der EU sowie dem Europäischen Rat herausgefiltert hat. Bislang entdeckte Symantech 27 Ziele von Regin. Aufgrund des sparsamen Angriffs und der findigen Schutzmaßnahmen konnten so lange Zeit vertrauliche Informationen gesammelt und weitergeleitet werden.

Unter den Opfern befinden sich Länder wie Russland, Irland oder Saudi-Arabien. Vor allem kleine Unternehmen, Privatpersonen, Forschungseinrichtungen oder Mobilfunkanbieter wie Belgacom waren betroffen. Regin nistete sich monatelang im Server so gut ein, dass es vertrauliche Gespräche mithören konnte. Die Enthüllungen von Edward Snowden, Anfang 2013,
besagen, dass der britische Nachrichtendienst GCHQ hinter der Aktion stecken soll.

Regin kann Daten klauen und sich in die PC-Verwaltung einschleusen.

Regin kann Daten klauen und sich in die PC-Verwaltung einschleusen. (Bild: chanpipat – Fotolia)

Aktion westlicher Geheimdienste?

Seine aktive Zeit hatte das Programm von 2008 bis 2011, schreibt Symantech in dem Artikel. Danach tauchte eine neuere Version auf. Von wem die Schadsoftware stammt und sie verbreitet hat, konnte noch nicht geklärt werden. Aufgrund der Komplexität, seines Einsatzes und der detailgetreuen Verschlüsselungstechnik, weist die Spur, laut Überprüfung des „Wired“, auf große, westliche Geheimdienste aus den USA, Israel oder China hin. Dass beispielsweise die NSA dahinter stecken könnte, ist nicht belegt. Aber bislang wurden keine Spionageangriffe auf Unternehmen aus den Vereinigten Staaten von Amerika bekannt.

Komplexes Modulsystem

Die Schadsoftware gilt als komplexes und sehr gut verschleiertes Programm. Bis auf das erste Modul schafften es IT-Sicherheitsspezialisten bislang ausschließlich, 5 Module des internen Baukastens zu entschlüsseln. Mit mehr als 50 Modulen gilt es als gefährliches Spionage-Instrument, das die folgenden Funktionen umfasst:

  • Datendiebstahl
  • Übernahme von administrativen Aufgaben
  • Speichern von Tastatureingaben und Bildschirminhalte
  • Wiederherstellung gelöschter Daten

Die erste Stufe nutzt eine Sicherheitslücke im PC aus, um sich zu installieren. Der eingeschleuste Schadcode wird als Datei für Betroffene sichtbar. Alle weiteren Schritte bleiben ihnen verborgen. Der Prozess verläuft nach einem austauschbaren Prinzip, der sich so für immer neuere Zero-Day-Sicherheitslöcher ausnutzen lässt. Sie bildet die Vorstufe für den zweiten Schritt, der eine Treibersoftware installiert. Diese befindet sich in der Registry-Datei von Windows. Jede Stufe baut aufeinander auf. Danach wird in Schritt drei ein parallel verlaufendes Betriebssystem eingefügt. Damit werden Datenverschlüsselungsdienste, ein Kommunikationsraum für den Austausch mit anderen geschädigten Servern, sowie für die Protokollierung der Aktionen aktiviert. Das Prinzip wird für Stufe vier, den Programmmanager, gebraucht, den Regin auf individuelle Aufgaben abstimmt. Die dafür benötigten Module befinden sich in der fünften Stufe.

Eingriff in IT-Netzwerke möglich

Das Programm ist in der Lage ganze IT-Strukturen großer Unternehmen, aber auch von Regierungen zum Fall zu bringen und somit an sensible Informationen zu gelangen. Hauptsächliches Ziel von Regin war es, Rechnernetze und Kommunikationsstrukturen von Mobilfunkanbietern zu stehlen. Einmal im territorialen Netz dieser Anbieter eingedrungen, kann die Schadsoftware nicht nur einen Lauschangriff ausüben, sondern sich in weiteren mobilen Netzen ausbreiten. Der Trojaner hätte es somit ganz einfach das technische Gerüst einer Regierung auszuschalten.

Optionen

Drucken Drucken Schriftgröße Schrift vergrößern Schrift verkleinern Schriftgröße zurücksetzen
1 Star2 Stars3 Stars4 Stars5 Stars (noch nicht bewertet)
Loading...Loading...

Kommentar abgeben