Spyware: Nach Stuxnet kommt Super-Trojaner Regin

Symantec hat mit Regin ein sehr raffiniertes Spionage-Programm entdeckt.
Grafik: Symantec Eine neu entdeckte Spionage-Software hat über Jahre Unternehmen und Behörden vor allem in Russland und Saudi-Arabien ausgespäht. Das Programm sei so komplex und aufwendig, dass nur Staaten als Auftraggeber in Frage kämen, erklärte die IT-Sicherheitsfirma Symantec in einem Blogeintrag. Symantec hat die raffinierte Spyware entdeckt. Gut jede vierte Infektion soll Betreiber von Telekom­munikations-Netzen getroffen haben. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen. Symantec gab der Software den Namen Regin. Symantec hat mit Regin ein sehr raffiniertes Spionage-Programm entdeckt.
Grafik: Symantec

Das Programm setzt sich auf infizierten Computern in mehreren Stufen fest und ist darauf getrimmt, lange unentdeckt zu bleiben. "Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen, was es macht", erläuterte Symantec. Inzwischen sei die Firma in der Lage, Regin auf Computern ausfindig zu machen, hieß es. Zugleich geht Symantec davon aus, dass es noch unentdeckte Funktionen und Varianten der Software gibt.

Das verdeckt agierende Trojaner-Programm kann den Sicherheitsforschern zufolge unter anderem Aufnahmen vom Bildschirm machen, Passwörter stehlen, den Datenverkehr überwachen und für die Angreifer gelöschte Dateien wiederherstellen. Die Aufgaben der Software können an das Angriffsziel angepasst werden.

Sowohl Konzerne als auch Privatpersonen betroffen

Russland sei mit 28 Prozent der Fälle am schwersten betroffen, gefolgt von Saudi-Arabien mit 24 Prozent, erklärte Symantec. Danach folgen Irland und Mexiko mit jeweils neun Prozent sowie Indien mit fünf Prozent. Symantec habe bisher keine direkten Hinweise auf die Urheber von Regin gefunden, sagte Symantec-Experte Candid Wüest. Von Niveau der Entwicklung und den Zielen her kämen Geheimdienste etwa der USA, Israels oder Chinas in Frage. Die Software sei von 2008 bis 2011 aktiv gewesen, dann sei 2013 eine neue Version aufgetaucht.

Rund die Hälfte der bisher entdeckten Regin-Infektionen entfalle auf Privatpersonen und kleinere Unternehmen. Außerdem seien Fluggesellschaften, Forschungseinrichtungen sowie die Energiebranche und das Hotelgewerbe betroffen gewesen. Die gestohlenen Informationen würden verschlüsselt gespeichert und übermittelt. Der dabei entstehende Datenverkehr sei einer der wenigen Hinweise, um das Spionage-Programm aufzuspüren.

Regin spiele technisch in einer Liga mit dem Sabotage-Programm Stuxnet, das einst das iranische Atomprogramm untergrub, erklärte Symantec. Hinter Stuxnet werden israelische und amerikanische Geheimdienst vermutet. Die Entwicklung von Regin dürfte Monate, wenn nicht Jahre gedauert habe, schätzten die IT-Sicherheitsexperten. Eine ausführliche Analyse der Sabotage-Software hat Symantec heute online gestellt.

Die systematisch von Staaten betriebene Cyberspionage ist ein heißes Eisen, dass durch die Enthüllungen des Whistleblowers Edward Snowden schon für eine Menge Ärger gesorgt hat. So wurde im Zuge des NSA-Skandals bekannt, dass die US-Regierung auch befreundete Regierungen belauscht hat - so wurde etwa das Handy von Bundeskanzlerin Angela Merkel abgehört. Umgekehrt warfen US-Geheimdienstchef James Clapper und NSA-Chef Keith Alexander europäischen Geheimdiensten vor, die USA und US-Politiker auszuspionieren. Gleichzeitig verteidigte Clapper diese Praxis aber generell als absolut hilfreich: "Das ist eines der ersten Dinge, die ich 1963 in der Geheimdienstschule gelernt habe. Es ist unersetzlich für uns zu wissen, was die Länder bewegt, was ihre Politik ist."