Kaspersky analysierte QUELLCODE 28.01.2015, 11:01 Uhr

Super-Trojaner Regin soll von NSA stammen

Die Schadsoftware Regin, die unter anderem auf dem Rechner einer Mitarbeiterin des Bundeskanzleramtes gefunden wurde, soll vom US-Geheimdienst NSA entwickelt worden sein. Darauf weist die Analyse des russischen Online-Sicherheitsunternehmens Kaspersky Lab hin.

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang: Der Trojaner wurde am 1. Februar vergangenen Jahres massenhaft verschickt.

Gefälschtes BKA-Anschreiben mit Schadsoftware im Anhang: Der Trojaner wurde am 1. Februar vergangenen Jahres massenhaft verschickt.

Foto: Sven Appel/dpa/gms

Die Quellcodes von Computerprogrammen sind für Laien nur ein Wust an Zahlen und Buchstaben. Doch selbst IT-Amateuren fällt bei näherem Hinsehen auf, was die Internetexperten des russischen Kaspersky Lab ermittelt haben: Die Codes für das Spionageprogramm Regin und eine Malware namens Qwerty sind in weiten Teilen identisch.

Regin, das ist der Supertrojaner, der schon seit Jahren für Cyberattacken auf Regierungen, Forschungseinrichtungen und Organisationen in aller Welt genutzt worden sein soll. In Deutschland wurde der Name Ende vergangenen Jahres zum Begriff, als das Programm auf dem USB-Stick einer Mitarbeiterin des Bundeskanzleramtes entdeckt wurde.

Hinweise in Snowden-Dokumenten

Qwerty wiederum ist eine Schadsoftware, über die vor kurzem der Spiegel berichtete. Die Informationen darüber stammen nach Angaben des Magazins aus Unterlagen des NSA-Whistleblowers Edward Snowden.

Den Verdacht, dass Regin vom US-Geheimdienst stammen könnte, gab es schon länger. Die Analysen der Kaspersky-Experten geben dieser Vermutung nun eine Menge Futter. Ihre Schlussfolgerung: „Wenn man die extreme Komplexität der Regin-Plattform und betrachtet und einbezieht, dass sie kaum von jemandem ohne Zugang zu den Quellcodes kopiert werden kann, dann bedeutet das: Die Entwickler von Qwerty und Regin sind entweder identisch oder arbeiten zusammen.“

Spionageprogramm zeichnet Tastatureingaben auf

Die Parallelen zwischen beiden Programmen zeigen sich jeweils im Herzstück, dem so genannten Keylogger. Er dient dazu, die Tastatureingaben eines Nutzers aufzuzeichnen und an den Angreifer zu übermitteln. Alle Informationen, die über die Tastatur eingegeben wurden – also auch Passwörter – können so abgegriffen werden.

Befehle und Zahlencodes der Schadsoftware Regin und Qwerty sind in weiten Teilen identisch, so die russischen IT-Experten von Kaspersky.

Befehle und Zahlencodes der Schadsoftware Regin und Qwerty sind in weiten Teilen identisch, so die russischen IT-Experten von Kaspersky.

Foto: Kaspersky

Nach Ansicht von Kaspersky gibt es weitere, teils eigentümliche Indizien dafür, dass der Ursprung von Regin bei der NSA liegt. So gebe es auf der Plattform häufig Hinweise auf die Sportart Cricket. Die werde halt vorzugsweise in Großbritannien, Neuseeland und Australien gespielt. Und diese Länder wiederum gehörten neben den USA und Kanada zu den so genannten „Five Eyes“, also dem Verbund von Geheimdiensten, der seit Jahren massiv online spioniert – auch und besonders bei Regierungen anderer Länder.

Angriffe auf EU-Kommission und Atombehörde

Das russische Unternehmen will auch weitere Belege dafür gefunden haben, dass Regin von einer Gruppe von Institutionen aus verschiedenen Ländern betrieben wird. Die Schadsoftware ist in den vergangenen Jahren schon an vielen sensiblen Stellen aufgetaucht: unter anderem beim belgischen Telekommunikationskonzern Belgacom, bei der EU-Kommission und bei der Internationalen Atomenergiebehörde IAEA.

Top Stellenangebote

SEMIKRON Elektronik GmbH & Co. KG-Firmenlogo
SEMIKRON Elektronik GmbH & Co. KG Projektleiter (m/w) Automatisierung / Maschinenbau Nürnberg
Enercon GmbH-Firmenlogo
Enercon GmbH Group Manager (m/f) System Performance and Aeroacoustics Aurich
TenneT intern-Firmenlogo
TenneT intern Ingenieur (m/w) Technische Strategieentwicklung Bayreuth
TenneT intern-Firmenlogo
TenneT intern Ingenieur (m/w) Asset Management Concepts Bayreuth
Institut für Solarenergieforschung GmbH-Firmenlogo
Institut für Solarenergieforschung GmbH Wissenschaftlicher Mitarbeiter/ Doktorand (m/w) Hannover
Institut für Solarenergieforschung GmbH-Firmenlogo
Institut für Solarenergieforschung GmbH Ingenieur (m/w) Elektrotechnik / Maschinenbau Hameln
BAL Bauplanungs und Steuerungs GmbH-Firmenlogo
BAL Bauplanungs und Steuerungs GmbH Bauleiter (w/m) Objektüberwachung Hamburg
Fr. Fassmer GmbH & Co. KG-Firmenlogo
Fr. Fassmer GmbH & Co. KG Project Manager (m/w) Composites Berne
EMIS Electrics GmbH-Firmenlogo
EMIS Electrics GmbH Planungsingenieur (m/w) für den Fachbereich Sekundär- und Schutztechnik Lübbenau
Deutsche Rentenversicherung Bund-Firmenlogo
Deutsche Rentenversicherung Bund Betriebsingenieurinnen/Betriebsingenieure - Informations- und Kommunikationstechnik Berlin