Update

Gefährlicher Computervirus : Stammt auch Trojaner Regin von Geheimdiensten?

Erst Stuxnet, nun Regin: Der neue Trojaner greift Telekom-Firmen, Fluglinien und Hotelbuchungssysteme an, um Politiker, Beamte, Forscher und Mitarbeiter von staatlichen Organisationen zu überwachen.

von
Stuxnet, Flame, Regin: Dieses Stück Code ist harmlos, aber Zeichen können zur Waffe werden.
Stuxnet, Flame, Regin: Dieses Stück Code ist harmlos, aber Zeichen können zur Waffe werden.Foto: dpa

Die Anti-Virenforscher des IT-Sicherheitsunternehmens Symantec haben mit dem Trojaner Regin möglicherweise einen der gefährlichsten Computerviren überhaupt entdeckt. Das trojanische Pferd besteht aus einer Vielzahl von komplexen und gut geschützten Modulen und erinnert stark an den Stuxnet-Virus, mit dem gezielt iranische Atomanlagen sabotiert wurden. Im Gegensatz zu Stuxnet, der spezifisch die Funktionsweise einer Siemens-Steuerungsanlage angegriffen hat, was zur Zerstörung von Zentrifugen in einer iranischen Atomanreicherungsanlage führte, ist Regin offensichtlich nahezu universell einsetzbar, wie Symantec in einem 22-seitigen Whitepaper darlegt. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in Bonn geht derzeit den Hinweisen nach und will im Laufe des Tages über seine Erkenntnisse berichten. Das Bundesamt war für Symantec in Deutschland der Hauptansprechpartner, sagte Symantec-Experte Candid Wüest dem Tagesspiegel. Konkrete Angriffe auf deutsche Ziele seien allerdings nicht feststellbar gewesen.

Die Bedrohung durch den Regin-Trojaner richtet sich nach Erkenntnissen von Symantec gegen ganz unterschiedliche Wirtschaftszweige. Nach den Auswertungen sind Telekommmunikationsfirmen besonders stark betroffen. Mehr als eine Viertel der Angriffe richtete sich gegen diese Branche. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen. Aber auch die Energiewirtschaft, Fluglinien, das Hotelgewerbe und Forschungseinrichtungen stünden im Fokus. Der Großteil der Angriffe – 48 Prozent – sei jedoch auf Privatleute sowie Betriebe von kleiner und mittlerer Größe gerichtet. Die Infektion erfolgt offenbar über den Besuch von infizierten bekannten Webseiten oder über gehackte Anwendungen. Infiziert wurden ausschließlich Windows-Computer, Mac-Rechner oder Linux-Systeme seien nicht betroffen. Nach Einschätzung von Symantec standen die Firmen jedoch nur mittelbar im Fokus der Angriffe, vielmehr sollten diese dazu dienen, spezielle Personen wie Politiker, ranghohe Beamte oder Mitarbeiter von Forschungsunternehmen und von politischen Instituten zu überwachen.

Russland, der Nahe Osten sowie Indien und Pakistan sind von Regin besonders

Symantec hat zudem analysiert, in welchen Regionen Computer besonders stark mit Regin infiziert sind. An der Spitze steht Russland (28 Prozent), dicht gefolgt von Saudi-Arabien. Es folgen Mexiko und Irland mit je neun Prozent der Angriffe vor Indien, Pakistan, Afghanistan und dem Iran mit je fünf Prozent. In Europa sind Belgien und Österreich mit ebenfalls je fünf Prozent besonders betroffen. In den beiden europäischen Ländern befinden sich wichtige Institutionen wie die Internationale Atomaufsichtsbehörde IAEA mit Hauptsitz in Wien sowie das Europaparlament in Brüssel. In der Bundesrepublik habe es keinen konkreten Fall gegeben, allerdings könne es durchaus noch nicht erkannte Fälle geben. .

Die sechs Stufen von Regin (inklusive Dropper). Die Infektion erfolgt überwiegend über bekannte Webseiten.
Die sechs Stufen von Regin (inklusive Dropper). Die Infektion erfolgt überwiegend über bekannte Webseiten.Grafik: Symantec

Hinter den Angriffen könnten erneut staatliche Auftraggeber wie Geheimdienste stehen, vermuten die IT-Sicherheitsexperten aufgrund der vorliegenden Fakten, wobei vor allem die hohe Komplexität des Trojaners auffällig sei, der nur mit großem Kosten- und Zeitaufwand zu programmieren gewesen sei. Stuxnet wurde nach Einschätzung von Experten in Israel und den USA entwickelt. Auffällig an diesem Schädling war, das er aus mehreren so genannten Zero-Day-Exploits bestand, also aus bislang völlig unbekannten Schadensroutinen, die darum von Virenscannern nicht erkannt werden können und sich darum explosionsartig verbreiten können.

Bislang fehlen konkrete Hinweise auf die Auftraggeber

Symantec habe bisher jedoch keine direkten Hinweise auf die Urheber von Regin gefunden, sagte Wüest. Vom Niveau der Entwicklung und den Zielen her kämen Geheimdienste etwa der USA, Israels oder Chinas in Frage. Die Software sei von 2008 bis 2011 aktiv gewesen, dann sei 2013 eine neue Version aufgetaucht. Inzwischen sei die Firma in der Lage, Regin auf Computern ausfindig zu machen. Zugleich geht Symantec davon aus, dass es noch unentdeckte Funktionen und Varianten der Software gibt.

Regin besteht dabei aus insgesamt sechs Stufen, die nacheinander in Funktion treten. Weil die wesentlichen Schadmodule wirkungsvoll verschlüsselt seien, sei es sehr schwer, die Bedrohung aufzuspüren. Die große Gefahr, die von Regin ausgeht, liegt in der nahezu universellen Einsetzbarkeit. So können über die Stufen vier und fünf unterschiedlichste Schadmodule aus dem Internet geladen werden. Darunter befinden sich laut Symantec Routinen zum Überwachen und Auswerten von Datenpaketen, Passwort-Räuber, die auf den Windows Explorer und den Internet Explorer zugreifen, sowie Tools zur Manipulation der Benutzeroberfläche. Mit diesen könnten unter anderem Screenshots erstellt und Tastenanschläge aufgezeichnet werden. Ferner kann Regin um Analysetools zur Auswertung der Festplatte oder zur Wiederherstellung gelöschter Dateien nachgeladen werden. Auch eine Fernsteuerung, um Computer herunterzufahren oder zu blockieren, könne integriert werden.


Autor

3 Kommentare

Neuester Kommentar
      Kommentar schreiben