2022859

Regin – neuer Super-Trojaner spionierte viele Jahre unentdeckt

24.11.2014 | 12:07 Uhr |

Ein neuer Backdoor-Trojaner spioniert wohl schon seit acht Jahren. Und blieb lange Zeit unentdeckt, weil er nur schwer zu entdecken ist. Vermutlich spioniert er im Auftrag einer Regierung. Er ähnelt damit Stuxnet und Duqu.

Regin spioniert im Regierungsauftrag: Das Sicherheits-Unternehmen Symantec warnt vor einer neuen Malware, die vergleichbar mit den Schadprogrammen Stuxnet und Duqu sein soll. Regin soll genauso wie Stuxnet und Duqu vermutlich im Auftrag einer Regierung geschaffen und verbreitet worden sein.

Laut Symantec soll Regin wohl schon seit 2008 spionieren, wobei die ältesten Entwicklungsspuren sogar bis 2006 zurückreichen. Der Backdoor-Trojaner würde für Spionage und Überwachung verwendet und sei von einer Komplexität, die man selten sehe: Sein Code sei größtenteils auf dem infizierten Rechner unsichtbar und die Malware tue alles, um zu verschleiern, dass Daten entwendet würden. Regin nehme staatliche Organisationen, Mobilfunkunternehmen, kleine Firmen und Forschungseinrichtungen sowie Privatpersonen ins Visier, wie Symantec ausführt.

Russland und Saudi-Arabien als Top-Ziele

Zwar sei Regin bis jetzt in mindestens zehn Ländern entdeckt worden, er würde aber vor allem kleine Unternehmen, Behörden und Forschungseinrichtungen sowie Privatpersonen aus Russland und Saudi-Arabien ausspionieren. Danach kämen Irland und Mexiko. Aber auch in Belgien und Österreich wäre Regin aktiv.

Mobilfunk-Netzbetreiber im Visier

Rund 50 Prozent der Infektionen seien auf den Rechnern von Privatpersonen und kleinen Unternehmen entdeckt worden. Aber immerhin 25 Prozent der Infektionen betrafen Betreiber von Mobilfunknetzen. Anscheinend interessieren sich die Regin-Macher vor allem für Login-Daten für GSM-Basis-Stationen. Das Fatale daran: Damit hätten die Angreifer zumindest teilweise Zugriff auf Verbindungsdaten bekommen.

Verbreitungswege noch kaum bekannt

Regin habe sich vermutlich zumindest zum Teil über Webseiten verbreitet. In vielen Fällen wüssten die Experten von Symantec jedoch überhaupt noch nicht, wie sich der Trojaner verbreitet habe. In einem einzigen Fall sei ein Rechner über den Yahoo Messenger mit Regin infiziert worden. Die Sicherheitsexperten halten es für möglich, dass Regin vor allem über Social Engineering verbreitet werde. Hierbei würde das Opfer zum Beispiel dazu gebracht einen Link in einer Messenger-Nachricht anzuklicken. Möglicherweise würden die Regin-Macher aber auch Sicherheitslücken in Messengersoftware ausnutzen und darüber Regin ohne Zutun des Anwenders verbreiten, wie Symantec spekuliert.

Das 5-Stufenmodell von Regin
Vergrößern Das 5-Stufenmodell von Regin
© Symantec

5-Stufenmodell schützt vor Entdeckung

Bis 2011 sei die erste Generation von Regin laut Symantec aktiv gewesen. 2013 sei dann eine neue Variante von Regin aufgetaucht. Ein Symantec-Kunde habe damals eine Version von Regin an das Sicherheitsunternehmen weitergeleitet.
Regins besondere Stärke bestünde darin, relativ lange unentdeckt bleiben zu können. Dafür haben ihn seine Entwickler fünfstufig aufgebaut. Und angeblich könne nur die erste Stufe überhaupt entdeckt werden, so Symantec. Würde diese erste Stufe „gezündet“, dann würde sie nach und nach die anderen Stufen entschlüsseln und starten. Und jede Stufe würde für sich Daten stehlen.
Regin könne Aufnahmen vom Bildschirm machen, Passwörter mitschreiben, den Datenverkehr überwachen und sogar gelöschte Daten wiederherstellen. Die Daten, die Regin stiehlt, würde die Schadsoftware verschlüsseln und dann über eine Peer-to-Peer-Verbindung an seine Macher übermitteln. Somit benötige Regin keinen zentralen Steuerserver, was seine Entdeckung erschwere.

Durch seinen modularen Aufbau könne Regin optimal auf unterschiedliche Angriffsziele hin optimiert werden. Wer Regin programmiert habe, wisse Symantec noch nicht. Aufgrund des Aufwandes sei aber in jedem Fall ein Staat als Auftraggeber und Entwickler zu vermuten.

Dass Regin so lange Zeit, nämlich bis zum Jahr 2011, unentdeckt blieb, spricht für seine Qualität, demonstriert aber auch die Schwäche aktueller Virenschutzprogramme.

0 Kommentare zu diesem Artikel
2022859