Wer entwickelte den Hightech Staatstrojaner "Regin"?

Quelle: Symantec
Quelle: Symantec
Eine hochentwickelte Schadsoftware namens Regin wird seit Jahren eingesetzt, um Regierungen und andere prominente Ziele auszuspionieren. Die Malware wurde besonders gegen Russland eingesetzt. Experten gehen angesichts der Komplexität des Programmes davon aus, dass der Trojaner von einem Staat entwickelt und eingesetzt wurde.

„Regin ist eine hochkomplexe Bedrohung, die zur systematischen Datenerfassung und Geheimdienstkampagnen eingesetzt wird. Die Entwicklung und der Einsatz dieser Malware muss eine hohe Investition von Zeit und Ressourcen bedeutet haben,“ schreibt die Technologie- und Sicherheitsfirma Symantec in einer Presseerklärung.

Der Trojaner zeigt einen „selten gesehenen Grad an technischer Expertise,“ so Symantec weiter . Die Komplexität des Virus erlaubt dem Eindringling ein System der Massenüberwachung zu erstellen. Zu den Zielen gehören private Unternehmen, Regierungsinstitutionen und Forschungszentren. Angriffe auf Firmen der Telecom wurden angeblich ausgeführt, um Zugang zu Telefonaten zu bekommen, die über deren Infrastruktur geführt wurden.

 Betroffene Branchen. Quelle: Symantec
Betroffene Branchen. Quelle: Symantec

Die Firma glaubt, dass der Trojaner von einem Staat entwickelt wurde, da es Monate oder gar Jahre dauert eine solche Software zu entwickeln und die Spur zu verwischen. Nach einer Analyse seiner weiteren Möglichkeiten kam die Sicherheitsfirma zu dem Ergebnis, dass Regin eines der weltweit wichtigsten Internet-Spionagewerkzeuge darstellt.

Fast ein Drittel der bestätigten Infektionen wurden in Russland entdeckt, knapp ein Viertel in Saudi Arabien. Mexico, Irland, Indien, Afghanistan, Iran, Belgien, Österreich und Pakistan stehen ebenfalls auf der Liste.

Die Sicherheitsfirma erklärt, dass der Virus zwischen 2008 und 2011 eingesetzt wurde, bevor er plötzlich zurückgezogen wurde bis im Jahr 2013 eine neue Version auftauchte.

Funktionsweise der Malware

Regin nutzt einen modularen Ansatz, der ihm erlaubt genau die Eigenschaften zu laden, die genau zum Ziel passen und dadurch massgeschneidertes Spionieren ermöglicht. „Sein Design macht es perfekt geeignet für andauernde, langfristige Überwachungsmaßnahmen von Zielen,“ so Symantec weiter.

Der fünf-stufiger Ladevorgang mit speziellen und versteckten Verschlüsselungen an jeder Stufe, ähnelt denen von Duqu/Stuxnet Bedrohungen.

„Die Ausführung der ersten Stufe setzt einen Dominoeffekt von Entschlüsselungen in Gang, der dann das Laden der nächsten Stufen auslöst. Jede einzelne Stufe birgt eine kleine Information über das komplette Paket. Nur wenn man alle fünf Stufen hat, kann man die Bedrohung analysieren und verstehen,“ so die Presseerklärung.

Außerdem ist Regin mit einer großen Zahl von Tarnungen ausgestattet, so dass es selbst nach dem Auffinden des Trojaners „sehr schwierig ist einzuschätzen, was er macht.“ Viele Bestandteile des Virus sind nachwievor unbekannt, während die Bedrohung von zusätzlichen Funktionen und Versionen weiter existiert.

 Quelle: Symantec
Quelle: Symantec