© APA (OTS/FH St. Pölten)

Regin

Hochentwickelter Trojaner spioniert auch in Österreich

IT-Sicherheitsexperten von Symantec sind einem neuartigen Computer-Schädling auf die Spur gekommen, der zum Ausspionieren von privaten und gewerblichen Computern verwendet worden sein soll. Ersten Analysen zufolge handelt es sich bei „Regin“ um einen Tojaner, der auf das langfrisitige Sammeln von Daten ausgelegt ist. Regin befällt Windows-Rechner in sechs Schritten, die jeweils ie Software für die nächsthöhere Ebene installieren. So entsteht eine schwer zu durchschauende Matrjoschkastruktur aus verschlüsselten Kontainern. Die Kommunikation wickelt Regin ebenfalls verschlüsselt ab.

Der Trojaner ist eine Art Allzweck-Schädling. In der letzten Ausbaustufe kann Regin mit beliebigen Modulen für jeden Einsatzzweck angepasst werden. So können Angreifer die Rechner ihrer Opfer übernehmen, Webcams und Mikrofone nutzen, Screenshots machen oder den Netzwerkverkehr überwachen. Die Schadsoftware kann auch exakt auf die Infrastruktur der Zielsysteme abgestimmt werden. Unter den bisherigen Opfern finden sich Unternehmen aus den Bereichen Telekommunikation und Energie, Fluggesellschaften, Forschungseirichtungen und Privatpersonen. Wie die Software verteilt wird, ist derzeit unbekannt. Von einer Kopie wissen die Entdecker, dass sie über einen Fehler im Yahoo-Messenger installiert wurde. Das scheint aber nicht der Standardverbreitungsweg zu sein. Die Sicherheitsfirmen gehen davon aus, dass die Schadsoftware auch über manipulierte Webseiten verteilt wird.

Staatstrojaner?

Der hohe Komplexitätsgrad von Regin lässt die Eperten darauf schließen, dass der Schädling staatlichen Ursprungs ist. Symantec nennt etwa China, Israel, Russland und die USA als mögliche Urheber. Das Besondere an Regin ist nicht seine Gefährlichkeit für normale Nutzer, sondern die Schwierigkeit, die Software selbst oder ihre Datenübertragung zu entdecken. Regin soll seit mindestens sechs Jahren in Umlauf sein und wurde erst vor relativ kurzer Zeit entdeckt. „Bevor das genau untersucht wurde, halte ich es für medienwirksame Spekulation zu sagen, dass ein Staat dahintersteckt. Mit Geld kann sich heute jeder Infrastruktur und Personal für so etwas kaufen“, sagt Peter Balog von der Faschhochschule Technikum Wien dem KURIER. Die erste Version der Softare wurde bis 2011 verwendet, seit dem Vorjahr ist eine neue 64-Bit-Variante im Umlauf. Die meisten Infektionen mit Regin wurden bisher in Russland und Saudiarabien gefunden, aus diesen Ländern stammen über die Hälfte der gefundenen Fälle.

Mexiko,und Irland sind mit je neun Prozent ebenfalls auf der Liste. Die übrigen Infektionen wurden in Indien, Afghanistan, Iran, Belgien, Pakistan und Österreich gefunden, mit je fünf Prozent. Allerdings ist die Stichprobe sehr klein. Bisher wurden nur 100 Fälle geprüft, das heißt in Österreich gab es lediglich fünf nachgewiesene Fälle. Bei den meisten Betroffenen handelt es sich laut ersten Auswertungen um Kleinbetriebe und Privatpersonen. Das österreichische Bundesamt für Verfassungsschutz beobachtet die Situation nach eigenen Angaben. Die großen Antivirenanbieter haben Regin bereits in ihre Datenbanken aufgenommen. „Darauf sind die Nutzer angewiesen. Bei komplexen Bedrohungen haben Nutzer kaum eine Chance, einen Angriff zu erkennen“, so Balog.

Hat dir der Artikel gefallen? Jetzt teilen!

Markus Keßler

mehr lesen
Markus Keßler

Kommentare