Nachfolger von Stuxnet 24.11.2014, 14:52 Uhr

Trojaner Regin hat Industrieanlagen in zehn Ländern auspioniert

Ein neuer Supervirus hat offenbar seit Jahren Privatpersonen, Unternehmen, Behörden und Forschungseinrichtungen systematisch ausgespäht. Regin heißt der Trojaner, den jetzt das Sicherheitsunternehmen Symantec aufgesprürt hat. Vor allem in Russland und Saudi-Arabien hat Regin spioniert.

Das amerikanische IT-Sicherheitsunternehmens Symantec hat den neuen Trojaner Regin entdeckt, der nicht nur Privatpersonen, sondern auch Industrieanlagen in zehn Ländern ausspioniert haben soll.

Das amerikanische IT-Sicherheitsunternehmens Symantec hat den neuen Trojaner Regin entdeckt, der nicht nur Privatpersonen, sondern auch Industrieanlagen in zehn Ländern ausspioniert haben soll.

Foto: Symantec

Regin hat Symantec den komplexen Spionage-Trojaner genannt, den es jetzt entdeckt hat. Die Software hat jahrelang Privatpersonen, Unternehmen, Behörden und Forschungseinrichtungen in zehn Ländern ausgespäht. Am schwersten betroffen von der systematischen Spionage ist mit 28 Prozent Russland, dicht gefolgt von Saudi-Arabien mit 24 Prozent. Irland und Mexiko folgen mit jeweils neun Prozent. Dann folgen mit einem Anteil von jeweils fünf Prozent Indien, Afghanistan, Iran, Belgien, Österreich und Pakistan.

Symantec vermutet einen reichen Nationalstaat als Angreifer

Symantec glaubt, dass hinter dem Trojaner eigentlich nur Staaten wie die USA, Israel oder China stecken können. Regin spiele technisch in einer Liga mit Stuxnet, dem Schadprogramm, das vor einigen Jahren systematisch das iranische Atomprogramm infizierte. Das gleiche Experten-Team bei Symantec, das 2010 Stuxnet entdeckte, ist jetzt auf Regin gestoßen.

Der Super-Trojaner ist so programmiert, dass er möglichst lange unentdeckt bleibt. Regin zündet in fünf aufeinanderfolgenden Stufen, nur die erste Stufe kann überhaupt entdeckt werden. Wenn diese erste Stufe ausgeführt wird, löst das einer Art von Dominoeffekt aus und nach und nach werden die anderen Stufen entschlüsselt und geladen.

Durch die Wahl dieser Software-Architektur konnte Regin viele Jahre unentdeckt von Virenscannern agieren. „Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen was es macht“, erläutert Symantec.

Regin macht Screenshots und klaut Passwörter

Soviel allerdings weiß man inzwischen: Regin kann eine ganze Menge Schaden anrichten. Das Programm kann Aufnahmen vom Bildschirm machen, Passwörter stehlen und den Datenverkehr überwachen. Es kann die Kontrolle über die Computermaus eines von ihm infizierten Systems übernehmen und bereits gelöschte Dateien wiederherstellen.

Alle gestohlenen Informationen speichert Regin verschlüsselt ab und übermittelt diese. An wen, ist unklar, weil auch das kalifornische Sicherheitsunternehmen aus Mountain View keinerlei Hinweise auf den Autor von Regin hat, so Symantec-Spezialist Candit Wuest. Der Datenverkehr könnte aber einen Hinweis auf die Quelle von Regin sein.

Seit 2013 kursiert Regin 2.0

Fast die Hälfte der Infizierungen fanden die Sicherheitsexperten bei Privatpersonen und kleinen Unternehmen, 28 Prozent betrafen Unternehmen der Telekommunikation. Die Sicherheitsexperten vermuten, dass sich die Hacker so Zugang zu einzelnen Gesprächen verschafft haben.

100 Infektionen haben die Experten eindeutig identifiziert. Neun Prozent fanden sie im Hotelgewerbe, je fünf Prozent betreffen Unternehmen der Energiebranche und Airlines sowie Forschungseinrichtungen. Regin war von 2008 bis 2011 aktiv, dann wurde es äußerst abrupt gestoppt, bis 2013 eine neue Version des Trojaners auftauchte.

Infektion über gefälschte Webseiten

Regin ist modular aufgebaut. Dadurch lässt er sich speziell auf bestimmte Angriffsziele zuschneiden. Die Experten von Symantec sind davon überzeugt, dass sie längt noch nicht alle möglichen Funktionen und Versionen der Software entdeckt haben.

Für seine Verbreitung nutzt Regin verschiedene Wege. Zum einen wurden populäre Webseiten so gefälscht, dass ein Besucher sich mit Regin infizierte. Zum anderen nutzte der Trojaner eine damals nicht bekannte Sicherheitslücke in Yahoos Instant Messenger zur Verbreitung.

Top Stellenangebote

DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG-Firmenlogo
DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG Projektbearbeiter (m/w) Stadtentwicklung Bielefeld
WACKER-Firmenlogo
WACKER Ingenieur (w/m) für das Bauwesen mit dem Schwerpunkt Hochbau / Konstruktiver Ingenieurbau Burghausen
Kistler Instrumente GmbH-Firmenlogo
Kistler Instrumente GmbH Key Account Manager (m/w) Qualitätsüberwachung im Bereich Automotive Manufacturing Sindelfingen, Home-Office
Cargill GmbH-Firmenlogo
Cargill GmbH Project & Process Engineering Manager (m/f) Hamburg-Harburg
THOST Projektmanagement GmbH-Firmenlogo
THOST Projektmanagement GmbH Scheduler / Project Planner (m/f) Stockholm, Västerås (Schweden)
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Planer/innen für ITK-Netzwerktechnik München
Giesecke + Devrient Currency Technology GmbH-Firmenlogo
Giesecke + Devrient Currency Technology GmbH Diplom-Ingenieur / Bachelor / Master für Maschinenbau (m/w) Leipzig
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Mitarbeiter/innen für Energiemanagement und Anlagenoptimierung in städtischen Gebäuden München
Peek & Cloppenburg KG-Firmenlogo
Peek & Cloppenburg KG Projektleiter (M/W) Facility Management Baubereich Düsseldorf
Schweizer Electronic AG-Firmenlogo
Schweizer Electronic AG Qualitätsingenieur (m/w) Schwerpunkt Messtechnik-Leistungselektronik Schramberg