Netzpolitik 03.12.2014

"Regin ist ein vom Staat subventioniertes Angriffstool"

© Bild: APA (OTS/FH St. Pölten)

Virenforscher Candid Wuest, der an der Analyse von Regin beteiligt war, glaubt, dass es sich beim Trojaner Regin um staatlich unterstützte Spionage handelt. Er erzählt Details.

„Zu sagen, welches Land hinter dem fortschrittlichen Framework von Regin steckt, wäre aber reine Spekulation“, erklärt Candid Wuest, Virenforscher bei Symantec, am Mittwoch in einem Webcast vor Journalisten. Damit bestätigte Symantec, das Unternehmen, das mit den Informationen über Regin vor rund zwei Wochen an die Öffentlichkeit gegangen ist, den Bericht von „The Intercept“, der besagt, dass die Geheimdienste NSA und GCHQ dahinter stecken sollen, nicht direkt. Dass Geheimdienste beteiligt waren, schließt Wuest allerdings nicht aus. „Wir gehen davon aus, dass es ein von einem Staat subventioniertes Angriffstool ist, hinter dem ein Nachrichtendienst steckt.“

„Es müssen fünf bis zehn Programmierer einige Monate lang oder gar Jahre daran gearbeitet haben und Regin über die Jahre hinweg betrieben haben“, erklärt Wuest. Der Trojaner Regin wurde eigens dafür geschaffen, um langfristig Informationen zu sammeln und zu spionieren. Er wurde gezielt eingesetzt, um bestimmte Personen zu bespitzeln.

Gezielte Spionage

Mit Regin infiziert wurden neben Infrastrukturbetreibern und Telekommunikationsanbietern etwa auch Airlines oder Hotels. „Es geht dabei nicht um die Bankdaten, sondern darum, wo Person X hinfliegt, in welchem Hotel Person X übernachtet, ob Person X am Meeting teilnimmt“, sagt Wuest. „Weiß man das, greift man vielleicht auf klassische Spionagemittel zurück und platziert eine Wanze im Hotelzimmer, oder infiltriert den Laptop während einem Geschäftsessen mit einem Rootkit, ohne dass die Person etwas merkt.“

In Österreich habe sich „eine Handvoll“ Unternehmen bei Symantec gemeldet, die von Regin betroffen waren. Die Dunkelziffer sei allerdings sei viel größer, so Wuest auf futurezone-Anfrage, denn viele Unternehmen, die mit Regierungen zusammenarbeiten, würden dies, selbst wenn sie betroffen seien, nicht bekannt geben. „Auch nicht anonymisiert.“

Daten aus der Funkzelle

Knapp 50 verschiedene Module, die bei Regin zum Einsatz kommen, habe Symantec erkannt. „Aber es gibt möglicherweise bis zu 100.“ Damit lassen sich etwa einfache Funktionen ausführen, wie man sie von Windows Remote-Installationstrojanern kennt. „Ein Modul liest etwa Passwörter aus, die im Browser gespeichert sind. Eines kann gelöschte Dateien wiederherstellen. Ein weiteres liest E-Mails aus via Microsoft Exchange Server. Auch die Maus kann bewegt werden“, erklärt Wuest.

Doch das interessanteste Modul ist wohl das, das auf GSM-Base-Stationen ausgerichtet ist. „Dieses Modul kann Statusinformationen mitlesen, also welches Smartphone in welcher Funkzelle eingeloggt ist. Wir gehen davon aus, dass mit weiteren Modulen auch Telefonate mitprotokolliert werden können. Das zeigt, dass die Angreifer über ein spezifisches Know-How verfügen und über die Möglichkeit verfügen, sehr viele interessante Informationen zu Tage zu fördern“, erzählt der Virenspezialist.

Ähnliches Level wie Stuxnet

Bei Regin handle es sich um etwas sehr Komplexes, das sich auf einem ähnlichen Level wie Stuxnet befinde. „Regin ist handwerklich extrem gut gebaut, die Autoren waren kreativ, aber nicht mit eigenen Kreationen. Sie kennen den Markt und wissen, was es im Sicherheitsbereich für Lösungen gibt und sie wissen, wie sie an diesen vorbeikommen. Sie haben ihre Hausaufgaben gemacht“, fährt Wuest fort.

Spannend ist auch, dass Regin schwer erkannt werden kann, weil er eine mehrstufige, modulare Architektur verwendet. Die wertvolleren Spezialmodule und zwischengelagerte Informationen verbirgt Regin in einem verschlüsselten Dateisystem. „Man weiß nicht, welche Daten wirklich gestohlen wurden und was damit gemacht werden könnte“, so Wuest. Auch wenn Regin bisher nur auf Windows-Rechnern wurde, heißt das nicht, dass der Trojaner auf Linux- oder Mac-Systemen nicht noch auftauchen könne , so Wuest. Regin sei für 32-bit und 64-bit-Systeme gleichermaßen entwickelt worden.

Analyse erst als zweiter Schritt

Dabei gibt es den Spionage-Trojaner Regin bereits seit 2008. „Damals haben wir Spuren von Regin schon erkannt, aber wussten nicht genau, um was es sich dabei handelt“, erklärt Wuest. Zwischen dem ersten Auftauchen und denen intensiven Nachforschungen von Symantec verging also viel Zeit. „Im Dezember 2013 haben wir bereits Signaturen in unseren Produkten installiert, damit unsere Kunden geschützt waren. Das war unsere erste Priorität. Die zweite war dann, rauszufinden, woher die Befehle kamen, wie vorgegangen wird, wenn weitere Module runtergeladen werden. Das hat lange gedauert, weil die Module gelöscht wurden, sobald die Daten abgesaugt waren“, erklärt Wuest.

Doch wie können sich nun etwa politische Berater, oder Firmen, die Staaten beraten nun vor Regin schützen? Zwar würden mittlerweile (fast) alle Anbieter von Anti-Viren-Software Regin erkennen, aber Wuest ist überzeugt: „Klassische Anti-Viren-Lösungen reichen nicht mehr aus.“ Eine sogenannte „Critical System Protection“ wiederum bringe aber viel Nachteile bei Systemadministratoren mit sich. „Der Aufwand für Clients ist dadurch wesentlich höher.“ „Jeder muss selbst einschätzen, ob er ein potentielles Ziel eines Geheimdienstes ist und Maßnahmen treffen. Das Problem aber ist: Wir können vor Regin von Land A schützen, aber vielleicht entdecken wir erst später, was Regin von Land B eigentlich macht.“

Erstellt am 03.12.2014