"Regin": Mächtiger Trojaner ist NSA-Werkzeug

27. Jänner 2015, 13:24
78 Postings

Laut "Spiegel"-Bericht - Abgleich des Keyloggers mit Code aus Dokumenten von Snowden

Der Einbruch bei Belgacom und andere Telekom-Unternehmen, ein Cyberangriff gegen die EU-Kommission und Spuren von Kompromittierungen im deutschen Bundeskanzleramt und der Internationalen Atomenergiebehörde in Wien (der WebStandard berichtete) – der "Regin"-Trojaner gilt als mächtige digitale Waffe.

Nun gibt es neue Erkenntnisse, die einen fast zweifelsfreien Rückschluss auf den Urheber der Schadsoftware zulassen. Wie der "Spiegel" berichtet, dürften wohl die NSA und ihre Partner aus der "Five Eyes"-Koalition dahinter stecken.

Abgleich gelungen

Das russische Sicherheitsunternehmen Kaspersky hat nun Dokumente aus der letzten Veröffentlichung des Whistleblowers Edward Snowden näher untersucht. Konkret geht es um Code des Keyloggers "Qwerty" der NSA. Dieser wurde mit bisherigen Funden zu Regin abgeglichen.

Das Ergebnis: Qwerty ist "identlisch mit dem Plugin 50251 von Regin". Spezifische Befehle, Codebestandteile und Kernelhooks, sowie die Tatsache, dass Regin enorm komplex ist, machen es nahezu unwahrscheinlich, dass der Keylogger kein Teil von Regin sei, der demnach auch von der NSA und ihren Partnern aus Großbritannien, Neuseeland, Australien und Kanada entwickelt und genutzt wurde.

Regin = Warriorpride

"Regin" wäre damit ident mit der in den NSA-Dokumenten angeführten Plattform "Warriorpride". Kaspersky vermeidet in seinem Blogpost eine entsprechende Anschuldigung. Der "Spiegel" nennt zusätzliche Indizien, wie etwa eine Übereinstimmung der bisherigen Ziele des Trojaners mit dem politischen Auftrag der NSA. In 27 Fällen wurde er mittlerweile nachgewiesen, mit weiteren Funden sei zu rechnen. (gpi, derStandard.at, 27.01.2015)

  • Kaspersky ist der Abgleich zwischen Qwerty mit dem Keylogger-Modul von Regin geglückt.
    foto: kaspersky

    Kaspersky ist der Abgleich zwischen Qwerty mit dem Keylogger-Modul von Regin geglückt.

Share if you care.