NSA-Enthüllungen: Regin ist laut Schadcode-Analyse ein NSA-Trojaner

Eine Analyse von Kaspersky Labs bestätigt nun, dass es sich bei „Regin“ um einen Trojaner der NSA handelt. Das IT-Sicherheitsunternehmen hat Dokumente aus dem Fundus von Edward Snowden ausgewertet, die der Spiegel Mitte Januar veröffentlicht hatte.

Im Rahmen der Enthüllungen über die Cyberwar-Methoden der NSA hatte der Spiegel auch Dokumente veröffentlicht, die den Quellcode von einer Schadsoftware namens „QWERTY“ beinhalten. Kaspersky Labs hat diesen Code daraufhin mit bereits bekannter Schadsoftware verglichen. Das Ergebnis: „Nach unserer technischen Analyse ist QWERTY identisch mit dem Plugin 50251 von Regin“, so Kaspersky-Labs-Forschungschef Costin Raiu.

Regin sorgte durch Analysen von Kaspersky Labs und Symantec im November 2014 für öffentliches Aufsehen. Demnach soll die Komplexität der Schadsoftware vergleichbar sein mit der von Stuxnet – also dem Trojaner, der die Urananreicherungsanalgen im Iran sabotiert hat.

Laut der aktuellen Analyse handelt es sich bei QWERTY um das nicht alleine lauffähige Keylogger-Modul von Regin. Dies ist ein Programm, das heimlich Tastatureingaben von infizierten Systemen mitschneidet und an den Angreifer übermittelt. Auf diese Weise haben Geheimdienste die Möglichkeit, etwa die Passwörter von Zielpersonen abzugreifen.

Da es sich bei Regin um eine äußerst komplexe Schadsoftware handelt, geht Kaspersky Labs davon aus, dass sowohl Regin als auch QWERTY von denselben Entwicklern programmiert wurden – oder die Entwickler von beiden Schadprogrammen zumindest zusammengearbeitet haben. Eine weitere Erkenntnis der Analyse ist, dass der Trojaner vermutlich von mehreren Institutionen als Angriffsplattform verwendet wird. Denn der QWERTY-Quellcode, der vom Spiegel zuletzt enthüllt wurde, hat eine andere ID-Nummer als der Regin-Quellcode, den Kaspersky Labs bereits analysiert hat.

Belege und zahlreiche Hinweise deuten auf NSA samt Partnerdiensten

Dass die NSA und Partnerdienste wie das britische GCHQ für Regin verantwortlich sind, wird von Kaspersky Labs nicht direkt bestätigt. Doch nach Einschätzung des Spiegel würden kaum noch Zweifel an der Herkunft der Schadsoftware bestehen. Es liege nun „ein eindeutiger Beleg“ vor, dass „es sich bei Regin tatsächlich um die Cyber-Angriffsplattform des „Five-Eyes“-Verbunds handelt“.

Denn der vom Spiegel enthüllte QWERTY-Quellcode stammt aus den Snowden-Dokumenten, während der Regin-Quellcode unter anderem auf Systemen des belgischen Telekommunikationsunternehmens Belgacom gefunden wurde. Bei Belgacom handelt es sich um ein Angriffsziel des britischen GCHQ, wie bereits im Jahr 2013 enthüllt wurde. Ein weiterer Hinweis ist nach Angaben des Spiegel, dass Regin in vielen Bereichen mit einem Cyberwaffen-System übereinstimme, das in den Snowden-Dokumenten als „Warriorpride“ bezeichnet wird.

Darüber hinaus passen auch die bislang bekannten Angriffsziele von Regin zu den Überwachungsaufträgen der Five-Eyes-Staaten. So soll der Trojaner auch für einen Cyber-Angriff auf die EU-Kommission im Jahr 2011 genutzt worden sein. Eine Analyse des Bundesamts für Sicherheit in der Informationstechnik (BSI) hatte ergeben, dass es bei der genutzten Malware „eindeutige Übereinstimmungen“ mit dem Regin-Quellcode gebe. Ebenso soll das Netzwerk der Internationalen Atomenergiebehörde IAEA mit der Schadsoftware infiltriert worden sein.

Dass Regin genutzt wurde, um deutsche Regierungsnetze auszuspionieren, wurde nach Angaben des BSI bislang noch nicht nachgewiesen. Allerdings wurde der Trojaner auf einem Privatrechner von einer Mitarbeiterin des Europareferats im Bundeskanzleramt entdeckt.

Kaspersky Labs rechnet derweil damit, dass noch weitere Systeme ermittelt werden, die mit Regin infiltriert wurden. Bis dato seien 27 internationale Unternehmen, Regierungen und Privatpersonen betroffen, sagte Forschungschef Raiu dem Spiegel.