Spionage-Malware Regin schon seit Jahren im Einsatz

Der Trojaner Regin wird mit Flame und Stuxnet verglichen und scheint bereits seit einem Jahrzehnt unentdeckt eingesetzt zu werden.

Kaum ein anderer Trojaner hat in den letzten Jahren für so viel Aufruhr gesorgt wie Regin. Sicherheitsfirmen ziehen Parallelen zu bekannter Schadsoftware wie Flame und Stuxnet. 

Modular und hochentwickelt

Regin ist eine modulare Malware-Plattform, bei der zahlreiche Funktionen aufeinander aufbauen. Das erlaubt den Hackern, eine Menge verschiedener Anwendungen zu nutzen – je nach Angriffsziel und Situation. Diese Architektur ähnelt der von Stuxnet und Duqu und erschwert die Analyse, da alle Komponenten verfügbar sein müssen. 

Die Regin-Plattform besteht also aus verschiedenen schädlichen Tools, mit denen die Angreifer Zugriff auf das gesamte Netzwerk einer Organisation erhalten können.

Die Regin-Plattform besteht also aus verschiedenen schädlichen Tools, mit denen die Angreifer Zugriff auf das gesamte Netzwerk einer Organisation erhalten können. Eine hochkomplexe Kommunikationsmethode zwischen den infizierten Netzwerken und den Command-and-Control-Servern (C&C) ermöglicht verdeckte Fernsteuerung und Datenübertragung. Letztere machte das Auffinden des Schädlings so schwierig.

Symantec beschreibt den Trojaner als komplexe Malware, deren Struktur einen hohe technische Expertise voraussetzt, die man sonst nur selten sieht. Es könnte sein, dass die Entwicklung Monate und Jahre dauerte und dass die Urheber alles Mögliche getan haben, um ihre Spuren zu verwischen.

„Anspruchsvoll, gefährlich und technologisch weiter entwickelt als der Stuxnet Wurm – dies sind nur einige von vielen Eigenschaften die den Trojaner Regin beschreiben“, so lautet die Meinung von Aurelius Wosylus, Director Business Development, Embedded Markets & IoT WW bei SafeNet. „Regin repräsentiert eine auffallende Entwicklung in der fortschreitenden Bildung von bösartigen Hackeraktivitäten. Besonders besorgniserregend ist hierbei, dass Regin eingesetzt wurde, um industrielle Kontrollsysteme anzugreifen und sich daran zu bereichern.“

Weltweit zahlreiche Länder mit Regin infiziert

Am meisten betroffen von Regin waren Organisationen in Russland und Saudi Arabien. Aber auch andere Länder wie Afghanistan, Algerien, Belgien, Brasilien, Deutschland, Indien, Indonesien, Iran, Kiribati, Malaysia, Pakistan, der Republik Fidschi und Syrien sind infiziert. Die Malware, die vor einiger Zeit beim Provider Belgacom entdeckt wurde, war bis dahin unbekannt. 

Hierbei könnte es sich bereits um Regin gehandelt haben. Die Komplexität und Beschaffenheit der Malware entspricht in etwa der, die in NSA-Operationen verwendet wird. Ronald Pins, CTO und Gründer der holländischen Fox-IT Security ist sich sicher, das Regin von britischen und amerikanischen Geheimdiensten eingesetzt wird.

Regin spioniert auch in GSM-Mobilfunknetzen

Das Unternehmen Kaspersky Labs macht in einem Bericht über Regin nun öffentlich, dass neben den bislang bekannten Cyberspionageaktivitäten erstmalig GSM-Netzwerke infiltriert und ausgespäht wurden. Das Unternehmen konnte während seiner Untersuchung die Aktivitäten eines GSM Base Station Controllers erlangen. Entsprechend der Analyse haben die Angreifer Zugangsdaten erlangt, mit deren Hilfe sie GSM-Zellen eines großen Mobilfunkunternehmens unter ihre Kontrolle bringen können. 

Damit könnten sie Zugriff auf Informationen erhalten haben, welche Anrufe von bestimmten GSM-Zellen verarbeitet wurden. Zudem hätten die Angreifer diese Anrufe in andere Zellen umleiten oder benachbarte Zellen aktivieren sowie weitere schädliche Aktivitäten entfalten können. 

Die Angreifer hinter Regin sind aktuell die einzig bekannte Gruppe, die entsprechende Operationen durchführen kann. Bereits 2008 wurden innerhalb eines Monats Administrations-Zugangsdaten gestohlen, mit denen die Drahtzieher GSM-Netzwerke im Mittleren Osten hätten manipulieren können.

„Die Fähigkeit, in GSM-Netze einzudringen und sie zu überwachen, ist vermutlich der ungewöhnlichste und interessanteste Aspekt dieser Operation“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab.

„Wir sind heute sehr abhängig von Mobilfunknetzen, die allerdings auf Basis von veralteten Kommunikationsprotokollen arbeiten, und daher dem Endanwender nur wenig oder gar keine Sicherheit gewähren. Für Strafverfolgungsbehörden sind Mechanismen in GSM-Netze eingebaut, um verdächtige Personen zu überwachen und zu verfolgen – doch böswillige Dritte können dies für sich missbrauchen und Angriffe verschiedenster Art auf Mobilfunk-Kunden ausführen.“

Sicherheitsstrategien der Unternehmen müssen überdacht werden

Obwohl derzeit nur spezielle Organisationen wie Regierungseinrichtungen oder ähnliches betroffen waren, warnen Experten davor, dass Regin auch eine Gefahr für Unternehmen werden kann, vor allem in westlichen Ländern. Die Malware ließe sich so modifizieren (reverse-engineering), dass sie letztlich auch gegen Unternehmen – auch in den USA – verwendet werden kann, um sensible Informationen zu stehlen. 

Unternehmen müssen ihre Embedded-Software besser schützen, egal in welcher Art von Hardware sie läuft.

Aurelius Wosylus, BylineSafeNet-Experte

Dabei ließen sich neue Module hinzufügen, die die Plattform zielgerichtet verändern. Allerdings sehen die Experten nicht, dass ein durchschnittlicher Hacker oder Cyber-Kriminalist zu so etwas fähig wäre. Das Fine-Tuning erfordert deutliche höhere Kompetenz.

„Bei SafeNet sehen wir diese Entwicklung als große Gefahr“, bestätigt SafeNet-Experte Wosylus. „Da der Wert der Hardware mehr und mehr von der physische Komponente auf die  Software, die auf dem Gerät läuft, übertragen wird, ist deren Schutz und flexible Kontrolle unerlässlich. Unternehmen müssen ihre Embedded-Software besser schützen, egal in welcher Art von Hardware sie läuft – vom Netzwerk-Appliances über medizinische Geräte bis hin zu Mobiltelefonen und industriellen Automatisierungseinrichtungen. Die Sicherheitsindustrie kennt viele berüchtigte Schwachstellen und Regin scheint ein neuer großer Skandal für Industrie und Regierung gleichermaßen zu werden. Unternehmen müssen jetzt ihre Sicherheitsstrategie überprüfen um sicherzustellen, dass ihre Kernprozesse geschützt sind und ihre wichtigsten Anlagen sicher sind.“

Kommentar: Software könnte von Sicherheitsdiensten entwickelt worden sein

Es wird spekuliert, dass Regierungsgremien und Sicherheitsdienste aus den USA und Großbritannien dahinter stecken, die damit gezielt Telekommunikationsunternehmen, Regierungseinrichtungen, Finanzinstitute, Forschungsorganisationen, multinationale politische Körperschaften sowie Einzelpersonen, zu deren Forschungsbereich Mathematik oder Kryptografie gehört, ausspionierten.

Sicherheitsfirmen wie Big Yellow, Microsoft oder F-Secure räumen allerdings ein, erste Komponenten des Regin bereits 2009 entdeckt zu haben. Kaspersky Labs berichtet sogar von ersten Samples der Malware aus dem Jahre 2003. Dass der Trojaner so lange unentdeckt blieb, liegt nicht zuletzt daran, dass er eines der hochentwickeltsten Feature-Sets besitzt. 

Das allein und die Tatsache, dass es enorme Ressourcen kostet, diese Feature-Sets zu entwickeln und auf dem neusten Stand zu halten, spricht dafür, dass es sich um Regierungs- bzw. Geheimdienst-getriebene Software handeln könnte. Für die meisten Security-Anbieter ist Regin auch ein eindrücklicher Beweis, dass Organisationen sich besser um die Erkennung von Bedrohungen kümmern müssen, als um deren Prävention.

Den Link zum Analyse-Blog von Kaspersky Labs finden Sie hier.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close