28.01.2015, 11:01 Uhr | 1 |

Kaspersky analysierte QUELLCODE Super-Trojaner Regin soll von NSA stammen

Die Schadsoftware Regin, die unter anderem auf dem Rechner einer Mitarbeiterin des Bundeskanzleramtes gefunden wurde, soll vom US-Geheimdienst NSA entwickelt worden sein. Darauf weist die Analyse des russischen Online-Sicherheitsunternehmens Kaspersky Lab hin.

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang
Á

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang: Der Trojaner wurde am 1. Februar vergangenen Jahres massenhaft verschickt.

Foto: Sven Appel/dpa/gms

Die Quellcodes von Computerprogrammen sind für Laien nur ein Wust an Zahlen und Buchstaben. Doch selbst IT-Amateuren fällt bei näherem Hinsehen auf, was die Internetexperten des russischen Kaspersky Lab ermittelt haben: Die Codes für das Spionageprogramm Regin und eine Malware namens Qwerty sind in weiten Teilen identisch.

Regin, das ist der Supertrojaner, der schon seit Jahren für Cyberattacken auf Regierungen, Forschungseinrichtungen und Organisationen in aller Welt genutzt worden sein soll. In Deutschland wurde der Name Ende vergangenen Jahres zum Begriff, als das Programm auf dem USB-Stick einer Mitarbeiterin des Bundeskanzleramtes entdeckt wurde.

Hinweise in Snowden-Dokumenten

Qwerty wiederum ist eine Schadsoftware, über die vor kurzem der Spiegel berichtete. Die Informationen darüber stammen nach Angaben des Magazins aus Unterlagen des NSA-Whistleblowers Edward Snowden.

Den Verdacht, dass Regin vom US-Geheimdienst stammen könnte, gab es schon länger. Die Analysen der Kaspersky-Experten geben dieser Vermutung nun eine Menge Futter. Ihre Schlussfolgerung: „Wenn man die extreme Komplexität der Regin-Plattform und betrachtet und einbezieht, dass sie kaum von jemandem ohne Zugang zu den Quellcodes kopiert werden kann, dann bedeutet das: Die Entwickler von Qwerty und Regin sind entweder identisch oder arbeiten zusammen.“

Spionageprogramm zeichnet Tastatureingaben auf

Die Parallelen zwischen beiden Programmen zeigen sich jeweils im Herzstück, dem so genannten Keylogger. Er dient dazu, die Tastatureingaben eines Nutzers aufzuzeichnen und an den Angreifer zu übermitteln. Alle Informationen, die über die Tastatur eingegeben wurden – also auch Passwörter – können so abgegriffen werden.

Nach Ansicht von Kaspersky gibt es weitere, teils eigentümliche Indizien dafür, dass der Ursprung von Regin bei der NSA liegt. So gebe es auf der Plattform häufig Hinweise auf die Sportart Cricket. Die werde halt vorzugsweise in Großbritannien, Neuseeland und Australien gespielt. Und diese Länder wiederum gehörten neben den USA und Kanada zu den so genannten „Five Eyes“, also dem Verbund von Geheimdiensten, der seit Jahren massiv online spioniert – auch und besonders bei Regierungen anderer Länder.

Angriffe auf EU-Kommission und Atombehörde

Das russische Unternehmen will auch weitere Belege dafür gefunden haben, dass Regin von einer Gruppe von Institutionen aus verschiedenen Ländern betrieben wird. Die Schadsoftware ist in den vergangenen Jahren schon an vielen sensiblen Stellen aufgetaucht: unter anderem beim belgischen Telekommunikationskonzern Belgacom, bei der EU-Kommission und bei der Internationalen Atomenergiebehörde IAEA.

Anzeige
Von Werner Grosch
Zur StartseiteZur Startseite
schlagworte: 
kommentare
28.01.2015, 12:01 Uhr duderson
Unsere guten Freunde aus den USA..... :-)
Inzwischen wurde auch klar, dass USA über TTIP die EU-Gesetzgebung mitbeeinflussen möchte. Ach herrlich. Ferkel regelt das schon. Sie wird sich in aller Form bei Obi dafür entschuldigen, dass hiesige Trojaner gefunden wurden und dass der Ottonormalbürger von den TTIP-Verhandlungen Wind bekam.

Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden