Spionage-Software Super-Trojaner Regin ist eine NSA-Geheimwaffe

Das Spähprogramm Regin attackiert Unternehmen weltweit, nun zeigt sich: Die Software ist augenscheinlich ein wichtiges Werkzeug der Geheimdienste NSA und GCHQ. Auch in Deutschland kommt sie zum Einsatz.

Von und

Regin-Code auf Kaspersky-Website: "Von einem Computer zum anderen fortgepflanzt"

Regin-Code auf Kaspersky-Website: "Von einem Computer zum anderen fortgepflanzt"


Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT ist sich sicher: Die komplexe, am Sonntag von Symantec enthüllte Spionagesoftware Regin ist ein Werkzeug der Geheimdienste der USA und Großbritanniens. Prins sagt, die Analysten seines Unternehmens hätten die mächtige Schadsoftware schon in Aktion beobachtet - offenbar, nachdem man sie auf den Rechnern eines Fox-IT-Kunden gefunden hatte: "Wir konnten den laufenden Betrieb analysieren", sagt Prins, man habe "gut sehen können, wie sie sich von einem Computer zum anderen fortpflanzt, wie sie Daten speichert und abtransportiert".

Die Beobachtungen über die Regin-Version, die Fox IT analysiert habe, deckten sich mit dem, was die Konkurrenten Symantec und Kaspersky nun über die Späh-Software berichten. Fox IT habe jedoch nicht deren Code analysiert: "Wir haben unsere eigenen Quellen." Offenbar sind die meisten großen IT-Sicherheitsdienstleister schon einmal mit dem hochentwickelten Spionagewerkzeug in Berührung gekommen - auch F-Secure berichtet über einen Regin-Kontakt schon 2009. Jetzt aber lassen sich ihre Erkenntnisse miteinander verknüpfen: Regin ist offenkundig ein zentraler Bestandteil der Überwachungs- und Spionagearchitektur von NSA und GCQH, theoretisch längst bekannt, aber bislang nie klar identifiziert.

Fox IT hat unter anderem für den belgischen Telekommunikationskonzern Belgacom gearbeitet, dessen Rechnersysteme vom britischen Geheimdienst GCHQ angezapft wurden, wie der SPIEGEL im September 2013 berichtete. Explizit weist Prins aber darauf hin, dass er nicht "über irgendetwas sprechen kann, was wir im Belgacom-Netzwerk gefunden haben". Auftraggeber von IT-Sicherheitsfirmen legen meist großen Wert darauf, dass die Dienstleister sich möglichst bedeckt halten.

Fotostrecke

4  Bilder
Operation "Sozialist": Auszüge aus der Geheimdienstpräsentation
Bei Fox IT ist man nicht nur überzeugt, dass Regin ein NSA-Werkzeug ist. Die Analysten glauben sogar zu wissen, wie die NSA selbst Teile der Regin-Architektur nennt. Gefunden haben Prins und seine Leute diese Namen in einem Produktkatalog der NSA-Abteilung ANT, den der SPIEGEL und SPIEGEL ONLINE Ende 2013 veröffentlichten. Die dort genannten Spionageprogramme Straitbizarre und Unitedrake gehörten zur Regin-Architektur, sagt Prins. Beide werden im ANT-Katalog als eine Art Universalspähwerkzeuge geführt. Sie können den ANT-Katalog selbst durchblättern - indem Sie unten auf die interaktive Grafik klicken.

"Maßgeschneiderte Funktionen nachgeladen"

Diverse andere Spionageprogramme können als Plugin mit Unitedrake oder Straitbizarre verknüpft werden. Beide öffnen Hintertüren in fremde Rechner, beide erlauben es, Daten von diesem Rechner aus nach draußen zu schmuggeln, in beide lassen sich diverse andere Module einstöpseln, die dann innerhalb des befallenen Rechners oder Netzwerks bestimmte Aufgaben erfüllen. Diese Module können etwa Daten kopieren, Tastatureingaben protokollieren, die Kamera einschalten oder gleich die vollständige Kontrolle über den Rechner übernehmen.

Interaktive Grafik
Kaspersky berichtet über eine dieser maßgeschneiderten Funktionen: Ein bestimmtes Regin-Plugin diente offenbar dem Zweck, im Netzwerk eines Mobilfunkbetreibers Informationen über Anrufe aufzuspüren, abzuspeichern und abzutransportieren.

Prins zufolge konnten seine Fachleute noch eine weitere Funktion beobachten, die Kennern des ANT-Katalogs bekannt vorkommen dürfte: "Sie konnten Daten aus Netzwerken holen, die eigentlich offline waren." Das erreiche die Software, indem die heimlich abgezweigten Daten zunächst lokal speichere. Dann warte sie, bis etwa ein Administrator für Wartungsarbeiten seinen Laptop einstöpsele. Die gespeicherten Daten würden dann auf den Computer des ahnungslosen Technikers kopiert - und von dort aus im nächsten Schritt zum jeweiligen Geheimdienst versandt, sobald eine Internetverbindung verfügbar sei.

Ein eigenes Geheimnetz zum Abtransport der geklauten Daten

Regin sei eine extrem hochentwickelte Spionagesoftware, die mit ebenso hochentwickelter Infrastruktur zusammenarbeitet, sagt Fox-IT-Chef Prins. Gesteuert und abgefragt werden die Schnüffelimplantate demnach über ein eigenes Netz im Netz, das an das Tor-Netzwerk zur Anonymisierung von Internetnutzern erinnere: Beide operieren auf der Basis von hintereinander geschachtelten Rechnern, über die Daten geleitet werden, sowie auf Verschlüsselung. Während aber Adressen im Tor-Netzwerk stets auf ".onion" enden, hätten die Schöpfer von Regin "ihren eigenen Adressraum". Dass die NSA ein solches Schattennetzwerk betreibt, ist schon seit vielen Monaten bekannt - offenbar konnten die Fox-IT-Analysten es nun in Aktion beobachten.

Eingeschleust werden die Spionageprogramme mit einer Methode, die SPIEGEL ONLINE im Dezember 2013 im Detail beschrieben hat. Die NSA und GCQH nennen das System Quantumtheory, Quantum Insert oder schlicht Quantum. Dabei werden Zielpersonen manipulierte Versionen von Webseiten gezeigt, in die von einem NSA-Server aus Schadcode injiziert wird (siehe Video).

DER SPIEGEL
Im Fall Belgacom wurden etwa manipulierte Seiten des Business-Netzwerks LinkedIn benutzt, um Zugang zu den Rechnern von Belgacom-IT-Personal zu erlangen. Belgacom passt ins Regin-Lagebild: Über ein Viertel aller Regin-Infektionen, die die Fachleute von Symantec entdeckt haben, betrafen Telekommunikationsunternehmen. Der SPIEGEL berichtete schon im vergangenen Herbst, dass NSA und GCHQ sich insbesondere für diverse Unternehmen aus der Telekom-Branche interessieren, bieten die doch die Zugänge, die man für noch weitergehende Überwachung und Spionage braucht.

Fotostrecke

14  Bilder
NSA-Dokumente: So knackt der Geheimdienst Internetkonten
Aus deutscher Sicht sind die Erkenntnisse über Regin besonders interessant: Erst im September berichtete der SPIEGEL, dass NSA und GCHQ in streng geheimen internen Unterlagen behaupten, über eigene Zugangspunkte in die Netzwerken deutscher Telekommunikationsfirmen wie der Telekom, Netcologne und Teleport-Betreiber wie Stellar in Hürth zu verfügen. Die entsprechenden Dokumente kommen aus einer GCHQ-Abteilung für Netzwerkanalyse im britischen Bude, die auch für den Belgacom-Angriff verantwortlich zeichnete, und die offenbar Zugriff auf das gesamte Quantum-Arsenal der NSA hat. Auch das Vorgehen im Falle von Stellar gleicht auffallend dem bei den Angriffen auf Belgacom. Im Fall der deutschen Firma wurden ebenfalls zunächst zentrale Mitarbeiter ausfindig gemacht, deren Rechner dann geknackt wurden.

Der Telekom ist der Virus schon länger bekannt

Nach der SPIEGEL-Berichterstattung hatte die Staatsanwaltschaft Köln im Fall der Hürther Firma ein Ermittlungsverfahren wegen des "Ausspähens von Daten" eingeleitet, gegen unbekannt.

Kam Regin also auch in deutschen Rechnern und Netzwerkinfrastrukturen zum Einsatz? Stellar-Geschäftsführer Christian Steffen erklärte auf Anfrage, sein Unternehmen habe im Licht der neuen Erkenntnisse zu Regin umgehend eine neue Prüfung der eigenen Systeme eingeleitet.

Bei der Deutschen Telekom heißt es, der Virus sei Experten bereits seit einiger Zeit bekannt. "Unsere Abwehrmechanismen sind entsprechend darauf eingestellt", so eine Sprecherin des Bonner Konzerns. "Zudem hat eine vorsorgliche Untersuchung unserer Sicherheitsexperten bislang keinen Hinweis ergeben, dass das Netz der Deutschen Telekom betroffen sein könnte. Unsere Erkenntnisse decken sich mit einem Symantec-Bericht, wonach der Virus bislang in Europa lediglich in Österreich, Belgien und Irland aufgetreten ist."

Kaspersky berichtet allerdings von weiteren Ländern, in denen man Regin aufgespürt habe - darunter auch Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte auf Anfrage: "Das BSI hat derzeit keine Hinweise auf eine Betroffenheit der deutschen Regierungsnetze mit der Schadsoftware Regin." Aussagen zu möglichen Urhebern könne man nicht treffen. Es handele sich jedoch um ein "hochwertiges, sehr komplexes Schadprogramm", vermutlich gemacht für "professionelle, gezielte, schwer zu detektierende Cyber-Angriffe ... bei denen über einen längeren Zeitraum sensible Informationen ausgespäht werden sollen". Im Fokus stünden offenbar "vor allem Regierungseinrichtungen und Telekommunikationsprovider".

In Österreich, genauer gesagt in Wien, hat unter anderem die Organisation erdölexportierender Länder (Opec) ihren Sitz. Wie der SPIEGEL im November 2013 berichtet, war auch die Opec ein Spionageziel von NSA und GCHQ. Um die Rechner von Opec-Mitarbeitern anzuzapfen, kam Snowden-Dokumenten zufolge eine ganz bestimmte Technik zum Einsatz. Sie heißt Quantum Insert.

Die Opec hat bis zum Erscheinen dieses Artikels nicht auf eine Anfrage zum Thema Regin geantwortet.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 84 Beiträge
Alle Kommentare öffnen
Seite 1
technik1 25.11.2014
1.
Die Möglichkeiten der Windows-Architektur um einen Trojaner einzuschleusen sind doch sehr auffällig. Da muss es mal so um 1995 ein strategisches Treffen zwischen Industrie und Regierung gegeben haben. Die Leute waren sehr weitsichtig. Hut ab.
Barath 25.11.2014
2.
Sorry, aber: Orly? Hat IRGENDJEMAND, nach der ersten Meldung über "Regin" was anderes erwartet?
conny1969 25.11.2014
3. da stellt sich die Frage:
Was wissen die alles? Da schaltet man von außen ein Notebook einens Politers an, startet die Kamera, ein Micro, liest Mails. Wenn man bedenkt für was der Bundespräsident Wulf abgeschossen wurde, kann für einen Politiker, ein dummes Telefongespräch mit einer unbedachten Äußerung oder eine blöde Mail das politische Ende bedeuten. Das gleiche gilt natürlich auch für alle anderen wie etwa Medienmitarbeiter. Da stellen sich die nächsten Fragen. Sind unsere Politiker noch frei in ihren Entscheidungen? Ist es unsere Presse noch?
alexreil 25.11.2014
4.
Zitat von technik1Die Möglichkeiten der Windows-Architektur um einen Trojaner einzuschleusen sind doch sehr auffällig. Da muss es mal so um 1995 ein strategisches Treffen zwischen Industrie und Regierung gegeben haben. Die Leute waren sehr weitsichtig. Hut ab.
Was hat das denn mit Windows zu tun? Denken sie wirklich, dass Telekom und Co ihre gesamte Infrastruktur auf Windows aufgebaut haben? Wieder mal versucht ein Klischee zu bedienen?
klaus591 25.11.2014
5. Amis sind keine Freunde mehr
Ich glaube die Mehrheit hat das Vertrauen in die Amerikaner verloren und kann keine Freundschaft mehr erkennen! Ob das auch Frau Merkel weiß? Oder vielleicht sollt es ihr mal jemand sagen,wie die Deutschen Bürger so ticken?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.