Netzpolitik
27.01.2015

Trojaner "Regin" stammt aus den Labors der NSA

Experten des russischen IT-Sicherheitsunternehmens Kaspersky haben Übereinstimmungen zwischen Regin und einem NSA-Werkzeug namens QWERTY gefunden.

Im Zuge der Snowden-Veröffentlichungen hat der Spiegel in Deutschland einige Seiten Code des NSA-Spionagewerkzeugs QWERTY publiziert. Fachleute bei Kaspersky haben den Code analysiert und festgestellt, dass es verdächtig viele Übereinstimmungen mit Regin gibt. Regin ist demnach ein von der NSA entworfene Cyberwaffe, wie der Spiegel schreibt. Regin wurde Ende 2014 als eines der bislang augefeiltesten Stücke Schadsoftware bekannt. Im Einsatz soll die Schadsoftware aber schon seit mehr als 10 Jahren sein.

Gezielte Angriffe

Der hochkomplexe Schädling scheint es dabei vor allem auf Unternehmen aus den Bereichen Telekommunikation, Energie und Luftfahrt abgesehen zu haben. Der vom Spiegel unter dem Namen QWERTY veröffentlichte Code ist laut den Kaspersky-Analysten als Keylogger-Komponente auch Teil von Regin. Damit können Angreifer Tastatureingaben protokollieren. QWERTY ist allerdings nur ein kleines Modul im komplexen Aufbau von Regin. In einem Blogpost liefert Kaspersky einen detaillierten Vergleich zwischen QWERTY und Regin, der kaum mehr Zweifel an der gemeinsamen Herkunft lässt.

Einige Experten gehen davon aus, dass Regin auch als gemeinsame Plattform mehrerer Länder für Angriffe dient. Es soll sich um eine geteilte Cyberwaffe des "Five Eyes"-Bündnisses handeln, also der USA und ihrer engsten nachrichtendienstlichen Partner Großbritannien, Kanada, Neuseeland und Australien. Als Beweise führt der Spiegel unter anderem etliche Verweise auf Kricket im geprüften Code an, einer Sportart also, die vor allem in den Commonwealth-Nationen beliebt ist. Die bisher bekannten Angriffsziele passen außerdem in das Profil der Five-Eyes-Länder. Zudem gebe es auffällige Übereinstimmungen zwischen Regin und einem in den Snowden-Dokumenten beschriebenen Cyberwaffensystem namens Warriorpride, das ebenfalls länderübergreifend eingesetzt wird.