SPIEGEL-Veröffentlichung Experten enttarnen Trojaner "Regin" als Five-Eyes-Werkzeug

Telekom-Unternehmen, die EU-Kommission und eine Mitarbeiterin des Kanzleramts - alle wurden zum Opfer der Schadsoftware "Regin". Die Analyse eines vom SPIEGEL veröffentlichten Codes zeigt nun: "Regin" ist ein Werkzeug der NSA und ihrer Verbündeten.
Softwarecode im Vergleich: Links Trojaner "Regin", rechts vom SPIEGEL veröffentlichter NSA-Code

Softwarecode im Vergleich: Links Trojaner "Regin", rechts vom SPIEGEL veröffentlichter NSA-Code

Foto: Kaspersky

Als der SPIEGEL Mitte Januar anhand neuer Unterlagen aus dem Snowden-Archiv das digitale Wettrüsten der Nachrichtendienste mit immer ausgefeilteren Cyberwaffen beschrieb, veröffentlichte SPIEGEL ONLINE auch das Beispiel einer in den Snowden-Materialien enthaltenen Schadsoftware namens "QWERTY" als Quellcode.

Für die meisten Leser waren das elf Seiten Zeichensalat. Doch die Experten der russischen IT-Sicherheitsfirma Kaspersky glichen den Code mit eigenen Schadprogrammfunden ab. Dabei fanden sie klare Übereinstimmungen mit einer elaborierten Cyberwaffe, die seit November 2014 international Schlagzeilen macht.

Damals hatten sowohl Kaspersky als auch die US-Sicherheitsfirma Symantec erstmals über den Fund eines Cyberwaffensystems berichtet, das sie "Regin" tauften. Laut Kaspersky war die Schadsoftware damals schon mehr als zehn Jahre im Einsatz und war gegen Ziele in mindestens 14 Ländern eingesetzt worden - neben Deutschland, Belgien und Brasilien gehörten dazu beispielsweise Indien und Indonesien.

Symantec sprach von einer "hochkomplexen" Bedrohung. Viele Angriffsziele stammten aus dem Telekommunikationssektor, andere aus den Bereichen Energie und Fluggesellschaften. Beide Unternehmen beschrieben "Regin" in Superlativen. Es handele sich um die gefährlichste Cyberwaffe seit "Stuxnet" - der berüchtigten Schadsoftware zum Angriff auf das iranische Atomprogramm.

"Regin"-Code auf Kaspersky-Website: Identischer Code

"Regin"-Code auf Kaspersky-Website: Identischer Code

"Wir sind sicher, dass wir hier das Keylogger-Modul von 'Regin' vor uns uns haben", sagt Kaspersky-Forschungschef Costin Raiu mit Blick auf den vom SPIEGEL veröffentlichten Code. Ein Keylogger ist ein Programm, das alle Tatstatureingaben mitschneiden kann - beispielsweise Passwörter, E-Mails, Textdokumente - und sie dann unbemerkt an seinen Urheber schickt.

"Nach unserer technischen Analyse ist 'QWERTY' identisch mit dem Plugin 50251 von 'Regin'", sagt Raiu. Zudem lasse sich daraus ablesen, dass es sich bei "Regin" offenbar um eine gemeinsame Angriffsplattform verschiedener Institutionen aus verschiedenen Ländern handele. Das Unternehmen veröffentlicht die Befunde am Dienstag als Blogpost .

Mit der neuen Analyse liegt nun ein eindeutiger Beleg dafür vor, dass es sich bei "Regin" tatsächlich um die Cyber-Angriffsplattform des "Five Eyes"-Verbunds handelt, also der Geheimdienste der USA, Großbritanniens, Kanadas, Neuseelands und Australiens. Kaspersky äußert sich wie auch Symantec nicht direkt zu den mutmaßlichen Urhebern von "Regin". An der Herkunft der Software kann es aber nun kaum noch Zweifel geben.

  • Der vom SPIEGEL veröffentlichte Ausschnitt stammt aus dem Archiv von Edward Snowden.
  • Auch auf den Rechnern des belgischen Telekommunikationsunternehmens Belgacom war offenbar "Regin" am Werk - Belgacom war ein Angriffsziel des britischen GCHQ, wie der SPIEGEL schon im Sommer 2013 berichtet hatte. Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT, das unter anderem den Belgacom-Angriff analysiert hatte, sagte SPIEGEL ONLINE im November 2011, "Regin" sei offenkundig ein Werkzeug von NSA und GCHQ.

Auch weitere, weichere Indizien sprechen dafür, dass "Regin" ein "Five Eyes"-Werkzeug ist:

  • Im Code von "QWERTY" und "Regin" finden sich zahlreiche Verweise auf die im Commonwealth beliebte Sportart Kricket.
  • Es gibt viele Übereinstimmungen mit einem Cyberwaffen-System, das die Geheimdienste selbst in den Snowden-Dokumenten "Warriorpride" nennen.
  • Auch die bislang bekannten Angriffsziele passen zu den politischen Überwachungsaufträgen der Five Eyes, wie sie aus dem Archiv des Whistleblowers hervorgehen.
Fotostrecke

Operation "Sozialist": Auszüge aus der Geheimdienstpräsentation

"Regin" wurde mittlerweile als Waffe hinter einer ganzen Reihe von Cyberangriffen enttarnt:

  • Der bereits erwähnte nachhaltige Angriff auf den halbstaatlichen Konzern Belgacom.
  • Ein gravierender Cyberangriff gegen die EU-Kommission im Jahr 2011 Der Vize-Direktor des Bundesamts für Sicherheit in der Informationstechnik (BSI), Andreas Könen, bestätigte dem SPIEGEL Ende Dezember : "Wir haben das nachvollzogen, es gibt eindeutige Übereinstimmungen."
  • Die österreichische Zeitung "Der Standard" berichtete unter Berufung auf anonyme Quellen, auch im Netzwerk der Internationalen Atomenergiebehörde IAEA sei Schadcode der "Regin"-Familie nachgewiesen worden.
  • Die "Bild"-Zeitung berichtete zudem über eine "Regin"-Infektion bei einer Mitarbeiterin des Europareferats im Bundeskanzleramt. Diese habe allerdings den Privatrechner der Frau betroffen. In deutschen Regierungsnetzen sei "Regin "bislang nicht nachgewiesen worden, hieß es auf Nachfrage beim BSI.

Mit weiteren Funden von "Regin" ist nach Lage der Dinge wohl zu rechnen. Allein bei Kaspersky, so Raiu, habe man den Schadcode inzwischen bei 27 internationalen Unternehmen, Regierungen und Privatpersonen nachgewiesen.