SPIEGEL-Veröffentlichung Experten enttarnen Trojaner "Regin" als Five-Eyes-Werkzeug

Telekom-Unternehmen, die EU-Kommission und eine Mitarbeiterin des Kanzleramts - alle wurden zum Opfer der Schadsoftware "Regin". Die Analyse eines vom SPIEGEL veröffentlichten Codes zeigt nun: "Regin" ist ein Werkzeug der NSA und ihrer Verbündeten.

Softwarecode im Vergleich: Links Trojaner "Regin", rechts vom SPIEGEL veröffentlichter NSA-Code
Kaspersky

Softwarecode im Vergleich: Links Trojaner "Regin", rechts vom SPIEGEL veröffentlichter NSA-Code

Von , Hilmar Schmundt und


Als der SPIEGEL Mitte Januar anhand neuer Unterlagen aus dem Snowden-Archiv das digitale Wettrüsten der Nachrichtendienste mit immer ausgefeilteren Cyberwaffen beschrieb, veröffentlichte SPIEGEL ONLINE auch das Beispiel einer in den Snowden-Materialien enthaltenen Schadsoftware namens "QWERTY" als Quellcode.

Für die meisten Leser waren das elf Seiten Zeichensalat. Doch die Experten der russischen IT-Sicherheitsfirma Kaspersky glichen den Code mit eigenen Schadprogrammfunden ab. Dabei fanden sie klare Übereinstimmungen mit einer elaborierten Cyberwaffe, die seit November 2014 international Schlagzeilen macht.

Damals hatten sowohl Kaspersky als auch die US-Sicherheitsfirma Symantec erstmals über den Fund eines Cyberwaffensystems berichtet, das sie "Regin" tauften. Laut Kaspersky war die Schadsoftware damals schon mehr als zehn Jahre im Einsatz und war gegen Ziele in mindestens 14 Ländern eingesetzt worden - neben Deutschland, Belgien und Brasilien gehörten dazu beispielsweise Indien und Indonesien.

Symantec sprach von einer "hochkomplexen" Bedrohung. Viele Angriffsziele stammten aus dem Telekommunikationssektor, andere aus den Bereichen Energie und Fluggesellschaften. Beide Unternehmen beschrieben "Regin" in Superlativen. Es handele sich um die gefährlichste Cyberwaffe seit "Stuxnet" - der berüchtigten Schadsoftware zum Angriff auf das iranische Atomprogramm.

"Regin"-Code auf Kaspersky-Website: Identischer Code

"Regin"-Code auf Kaspersky-Website: Identischer Code

"Wir sind sicher, dass wir hier das Keylogger-Modul von 'Regin' vor uns uns haben", sagt Kaspersky-Forschungschef Costin Raiu mit Blick auf den vom SPIEGEL veröffentlichten Code. Ein Keylogger ist ein Programm, das alle Tatstatureingaben mitschneiden kann - beispielsweise Passwörter, E-Mails, Textdokumente - und sie dann unbemerkt an seinen Urheber schickt.

"Nach unserer technischen Analyse ist 'QWERTY' identisch mit dem Plugin 50251 von 'Regin'", sagt Raiu. Zudem lasse sich daraus ablesen, dass es sich bei "Regin" offenbar um eine gemeinsame Angriffsplattform verschiedener Institutionen aus verschiedenen Ländern handele. Das Unternehmen veröffentlicht die Befunde am Dienstag als Blogpost.

Mit der neuen Analyse liegt nun ein eindeutiger Beleg dafür vor, dass es sich bei "Regin" tatsächlich um die Cyber-Angriffsplattform des "Five Eyes"-Verbunds handelt, also der Geheimdienste der USA, Großbritanniens, Kanadas, Neuseelands und Australiens. Kaspersky äußert sich wie auch Symantec nicht direkt zu den mutmaßlichen Urhebern von "Regin". An der Herkunft der Software kann es aber nun kaum noch Zweifel geben.

  • Der vom SPIEGEL veröffentlichte Ausschnitt stammt aus dem Archiv von Edward Snowden.
  • Auch auf den Rechnern des belgischen Telekommunikationsunternehmens Belgacom war offenbar "Regin" am Werk - Belgacom war ein Angriffsziel des britischen GCHQ, wie der SPIEGEL schon im Sommer 2013 berichtet hatte. Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT, das unter anderem den Belgacom-Angriff analysiert hatte, sagte SPIEGEL ONLINE im November 2011, "Regin" sei offenkundig ein Werkzeug von NSA und GCHQ.

Auch weitere, weichere Indizien sprechen dafür, dass "Regin" ein "Five Eyes"-Werkzeug ist:

  • Im Code von "QWERTY" und "Regin" finden sich zahlreiche Verweise auf die im Commonwealth beliebte Sportart Kricket.
  • Es gibt viele Übereinstimmungen mit einem Cyberwaffen-System, das die Geheimdienste selbst in den Snowden-Dokumenten "Warriorpride" nennen.
  • Auch die bislang bekannten Angriffsziele passen zu den politischen Überwachungsaufträgen der Five Eyes, wie sie aus dem Archiv des Whistleblowers hervorgehen.

Fotostrecke

4  Bilder
Operation "Sozialist": Auszüge aus der Geheimdienstpräsentation
"Regin" wurde mittlerweile als Waffe hinter einer ganzen Reihe von Cyberangriffen enttarnt:

  • Der bereits erwähnte nachhaltige Angriff auf den halbstaatlichen Konzern Belgacom.
  • Ein gravierender Cyberangriff gegen die EU-Kommission im Jahr 2011 Der Vize-Direktor des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, bestätigte dem SPIEGEL Ende Dezember: "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen."
  • Die österreichische Zeitung "Der Standard" berichtete unter Berufung auf anonyme Quellen, auch im Netzwerk der Internationalen Atomenergiebehörde IAEA sei Schadcode der "Regin"-Familie nachgewiesen worden.
  • Die "Bild"-Zeitung berichtete zudem über eine "Regin"-Infektion bei einer Mitarbeiterin des Europareferats im Bundeskanzleramt. Diese habe allerdings den Privatrechner der Frau betroffen. In deutschen Regierungsnetzen sei "Regin "bislang nicht nachgewiesen worden, hieß es auf Nachfrage beim BSI.

Mit weiteren Funden von "Regin" ist nach Lage der Dinge wohl zu rechnen. Allein bei Kaspersky, so Raiu, habe man den Schadcode inzwischen bei 27 internationalen Unternehmen, Regierungen und Privatpersonen nachgewiesen.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 201 Beiträge
Alle Kommentare öffnen
Seite 1
bold_ 27.01.2015
1. Wenn die Programmierer
Namen und Zeilen etwas variieren würden und z. B. andere Sprachen einsetzen, käme man ihnen vielleicht nicht (so schnell) auf die Schliche. Das sind hochintelligente Leute, aber sie sind in ihrem System und in ihrer Routine gefangen. Und bewährte Bausteine werden gern wieder eingesetzt - sonst wird man nie fertig und verliert den Überblick... Schön, daß alles ans Licht kommt! Weiter so, SPON!
uschikoslowsky 27.01.2015
2. Freunde
Das kommt doch von unseren Freunden, die sind doch die Guten (tm) - also gehen Sie bitte weiter, hier gibt es nichts zu kritisieren!
OttoEnn 27.01.2015
3. kein Fehler
EU-Kommisionen und das Kanzleramt oder große Unternehmen 'überprüfen' zu können sollte kein Privilieg der NSA sondern jedem Bürger generell möglich sein ;)
herzblutdemokrat 27.01.2015
4. Keine eigenen Spezialisten?
Wenn ich mir solche Artikel durchlese Frage ich mich immer wieder, haben wir keine Softwarespezialisten, Computercracks oder eine Spionageabwehr? Die müssten uns doch vor der NSA schützen und gegebenenfalls zurück schlagen können? Es kann mir keiner erzählen es gibt keine fähigen Leute in unserem Land. Warum werden die nicht eingesetzt? Trinken die alle nur Kaffee und spielen Angry Birds? Ich verstehe es einfach nicht....
dekilla 27.01.2015
5. nur mal so...
Wenn Der Spiegel den Code veröffentlicht hat kann ihn doch jeder verwendet haben ? oder passt das zeitlich nicht ?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.