Kaspersky analysierte QUELLCODE 28.01.2015, 11:01 Uhr

Super-Trojaner Regin soll von NSA stammen

Die Schadsoftware Regin, die unter anderem auf dem Rechner einer Mitarbeiterin des Bundeskanzleramtes gefunden wurde, soll vom US-Geheimdienst NSA entwickelt worden sein. Darauf weist die Analyse des russischen Online-Sicherheitsunternehmens Kaspersky Lab hin.

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang: Der Trojaner wurde am 1. Februar vergangenen Jahres massenhaft verschickt.

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang: Der Trojaner wurde am 1. Februar vergangenen Jahres massenhaft verschickt.

Foto: Sven Appel/dpa/gms

Die Quellcodes von Computerprogrammen sind für Laien nur ein Wust an Zahlen und Buchstaben. Doch selbst IT-Amateuren fällt bei näherem Hinsehen auf, was die Internetexperten des russischen Kaspersky Lab ermittelt haben: Die Codes für das Spionageprogramm Regin und eine Malware namens Qwerty sind in weiten Teilen identisch.

Regin, das ist der Supertrojaner, der schon seit Jahren für Cyberattacken auf Regierungen, Forschungseinrichtungen und Organisationen in aller Welt genutzt worden sein soll. In Deutschland wurde der Name Ende vergangenen Jahres zum Begriff, als das Programm auf dem USB-Stick einer Mitarbeiterin des Bundeskanzleramtes entdeckt wurde.

Hinweise in Snowden-Dokumenten

Qwerty wiederum ist eine Schadsoftware, über die vor kurzem der Spiegel berichtete. Die Informationen darüber stammen nach Angaben des Magazins aus Unterlagen des NSA-Whistleblowers Edward Snowden.

Den Verdacht, dass Regin vom US-Geheimdienst stammen könnte, gab es schon länger. Die Analysen der Kaspersky-Experten geben dieser Vermutung nun eine Menge Futter. Ihre Schlussfolgerung: „Wenn man die extreme Komplexität der Regin-Plattform und betrachtet und einbezieht, dass sie kaum von jemandem ohne Zugang zu den Quellcodes kopiert werden kann, dann bedeutet das: Die Entwickler von Qwerty und Regin sind entweder identisch oder arbeiten zusammen.“

Spionageprogramm zeichnet Tastatureingaben auf

Die Parallelen zwischen beiden Programmen zeigen sich jeweils im Herzstück, dem so genannten Keylogger. Er dient dazu, die Tastatureingaben eines Nutzers aufzuzeichnen und an den Angreifer zu übermitteln. Alle Informationen, die über die Tastatur eingegeben wurden – also auch Passwörter – können so abgegriffen werden.

Befehle und Zahlencodes der Schadsoftware Regin und Qwerty sind in weiten Teilen identisch, so die russischen IT-Experten von Kaspersky.

Befehle und Zahlencodes der Schadsoftware Regin und Qwerty sind in weiten Teilen identisch, so die russischen IT-Experten von Kaspersky.

Foto: Kaspersky

Nach Ansicht von Kaspersky gibt es weitere, teils eigentümliche Indizien dafür, dass der Ursprung von Regin bei der NSA liegt. So gebe es auf der Plattform häufig Hinweise auf die Sportart Cricket. Die werde halt vorzugsweise in Großbritannien, Neuseeland und Australien gespielt. Und diese Länder wiederum gehörten neben den USA und Kanada zu den so genannten „Five Eyes“, also dem Verbund von Geheimdiensten, der seit Jahren massiv online spioniert – auch und besonders bei Regierungen anderer Länder.

Angriffe auf EU-Kommission und Atombehörde

Das russische Unternehmen will auch weitere Belege dafür gefunden haben, dass Regin von einer Gruppe von Institutionen aus verschiedenen Ländern betrieben wird. Die Schadsoftware ist in den vergangenen Jahren schon an vielen sensiblen Stellen aufgetaucht: unter anderem beim belgischen Telekommunikationskonzern Belgacom, bei der EU-Kommission und bei der Internationalen Atomenergiebehörde IAEA.

Top Stellenangebote

ENERCON-Firmenlogo
ENERCON Versuchs- und Projekt-ingenieur (m/w) Generatorprüfung Aurich
Diehl Defence GmbH & Co. KG-Firmenlogo
Diehl Defence GmbH & Co. KG Entwicklungsingenieur (m/w) Röthenbach a. d. Pegnitz
Krankenhaus der Barmherzigen Brüder Trier-Firmenlogo
Krankenhaus der Barmherzigen Brüder Trier Bauingenieur/-in / Bautechniker/-in Trier
über JK Personal Consult GmbH-Firmenlogo
über JK Personal Consult GmbH Leiter Elektrokonstruktion (m/w) Dreieck Bielefeld-Dortmund- Paderborn
Berlin Metropolitan School-Firmenlogo
Berlin Metropolitan School Rewarding Career Bauleiter / Projektleiter (m/w) Berlin
über IRC - International Recruitment Company Germany GmbH-Firmenlogo
über IRC - International Recruitment Company Germany GmbH Eisenbahningenieur (m/w) München
Odenwald-Chemie GmbH-Firmenlogo
Odenwald-Chemie GmbH Projektleiter (w/m) Neckarsteinach
Andritz Separation GmbH-Firmenlogo
Andritz Separation GmbH Ingenieur (m/w) für Zentrifugen im Aftermarket Krefeld
BORSIG Membrane Technology GmbH-Firmenlogo
BORSIG Membrane Technology GmbH Projektingenieur/-in im verfahrenstechnischen Anlagenbau Rheinfelden
über KÖNIGSTEINER AGENTUR GmbH-Firmenlogo
über KÖNIGSTEINER AGENTUR GmbH Geschäftsführer (m/w) in der Kunststoffbranche neue Bundesländer