Vor wenigen Stunden habe ich im Beitrag Symantec entdeckt fortgeschrittenes Spionagetool Regin über einen recht komplexen Trojaner berichtet. Nun kristallisiert sich heraus, wo dieser Trojaner entwickelt wurde: Die USA im Verein mit Großbritannien.
Anzeige
Entdeckt wurde Regin von Antivirenherstellern. Symantec hat wohl die erste Veröffentlichung im Unternehmensblog publiziert. Aber auch Kaspersky und F-Secure haben Erkenntnisse zu dieser Schadsoftware. Der Trojaner spioniert neben Privatpersonen und Firmen auch Regierungen und Versorger aus. Hier nochmals das Schaubild der Angriffsziele.
(Quelle: Symantec)
Im Artikel wurde ausgeführt, dass der Trojaner (wegen der technischen Rafinesse) von Regierungen entwickelt worden sein muss. Im Verdacht standen Staaten wie USA, Israel und China. Das folgende Schaubild zeigt die angegriffenen Länder.
(Quelle: Symantec)
Anzeige
Russland und China waren die Hauptangriffsziele, wenn man die obige Grafik anschaut. Im Beitrag hatte ich die Frage gestellt, wieso nur Österreich, Irland und Belgien in der Statistik als europäische Staaten auftauchen. So weit so gut. Aber wer könnte hinter diesem Trojaner stammen?
Die von Laura Poitras, Glenn Greenwald und Jeremy Scahill betriebene Website The Intercept wird da schon präziser. In diesem Artikel führen die Autoren des The Intercept unter Berufung auf Quelle aus dem Kreis der Sicherheitsindustrie neue Erkenntnisse auf. So werden ziemlich klar die Urheber benannt. Der Trojaner ist wohl mutmaßlich aus einer Zusammenarbeit der Geheimdienste der USA und Großbritanniens entstanden.
So wurde Regin auf Computern und Servern von Belgacom gefunden. Dies ist die belgische Telefongesellschaft und Internetprovider, der durch den britischen Geheimdienst ausspioniert wurde. Die Malware stiehlt Daten von infizierten Systemen und gibt sich als legitime Microsoft Software aus. Der Trojaner wurde auch auf Computern und in Netzwerken der European Union gefunden – mutmaßlich von der amerikanischen National Security Agency (NSA) einschleust.
Die Angriffe gegen Belgacom und der European Union durch NSA und GHCQ wurden durch, von Edward Snowden, veröffentlichte Dokumente belegt. Der Einsatz der Region-Malware in diesem Angriffen wurde auch niemals verschleiert. Aus diesem Grund fallen China und Israel als Urheber der Schadsoftware wohl aus. Ergo müsste jetzt die Frage gestellt werden, wieso ein EU-Mitglied wie Großbritannien mit solchen Maßnahmen agieren kann und die anderen EU-Mitgliedstaaten sagen auch noch artig danke. Bei The Intercept finden sich in diesem Artikel noch sehr viele Interna zum Regin Trojaner, der z.B. folgende Windows-Treiber:
serial.sys
cdaudio.sys
atdisk.sys
parclass.sys
usbclass.sys
ersetzt und als Lader verwendet. Update: Bei Spiegel Online findet sich noch ein ergänzender Artikel.
Anzeige
Ich lese nun den 2. Artikel aber mir ist noch klar wie ich den Trojaner identifizieren kann.
Ich traus mich eigentlich kaum zu denken. Aber möglicherweise haben wir alle eine Spähsoftware auf den Rechner die eben bislang nicht als solche identifiziert ist. Nach Snowden und den ganzen Enthüllungen beschleicht mich ab und zu dieser Gedanke.