ReginStaatstrojaner enttarnt, mit denen NSA und GCHQ Ziele auch in Europa angriffen haben

Die Schad-Software, mit der die Geheimdienste NSA und GCHQ beim belgischen Telekommunikations-Anbieter Belgacom eingebrochen sind, ist enttarnt. Das belegen bekannte Forscher auf dem Nachrichten-Portal The Intercept und kündigen weitere Details an. Zuvor hatte Symantec einen eigenen Bericht veröffentlicht, nannte aber weder Urheber noch Ziele.

Zielarten von Regin.

Seit September 2013 ist öffentlich belegt, dass NSA und GCHQ vor vier Jahren beim belgischen Telekommunikations-Anbieter Belgacom eingebrochen sind.

Am Sonntag hat der Anti-Viren-Hersteller Symantec einen Bericht über die Malware „Regin“ veröffentlicht:

An advanced piece of malware, known as Regin, has been used in systematic spying campaigns against a range of international targets since at least 2008. A back door-type Trojan, Regin is a complex piece of malware whose structure displays a degree of technical competence rarely seen. Customizable with an extensive range of capabilities depending on the target, it provides its controllers with a powerful framework for mass surveillance and has been used in spying operations against government organizations, infrastructure operators, businesses, researchers, and private individuals.

Außer „kommt wohl von Staaten“ und „zielte auch auf Telekommunikationsunternehmen“ blieb der Bericht jedoch ziemlich oberflächlich.

Morgan Marquis-Boire, Claudio Guarnieri und Ryan Gallagher sprechen jetzt aus, was sich Symantec nicht traut: Secret Malware in European Union Attack Linked to U.S. and British Intelligence

Sources familiar with internal investigations at Belgacom and the European Union have confirmed to The Intercept that the Regin malware was found on their systems after they were compromised, linking the spy tool to the secret GCHQ and NSA operations.

Auch Ronald Prins von der umstrittenen Firma Fox-IT, die den Belgacom-Hack analysiert hat, sagt:

Having analyzed this malware and looked at the [previously published] Snowden documents, I’m convinced Regin is used by British and American intelligence services.

Die Folge:

The implants allowed GCHQ to conduct surveillance of internal Belgacom company communications and gave British spies the ability to gather data from the company’s network and customers, which include the European Commission, the European Parliament, and the European Council. The software implants used in this case were part of the suite of malware now known as Regin.

Die Forscher veröffentlichen ein Sample der Malware (Achtung: infiziert). In den nächsten Wochen wollen sie weitere Details veröffentlichen.

18 Ergänzungen

    1. Kann ich mir nicht vorstellen – immerhin ist ja wieder Russland und Saudi Arabien als Hauptziel ausgemacht. Ich kann mir nicht vorstellen, dass sich ernsthaft jemand darüber aufregt. Bei Stuxnet haben hier alle gesagt es sei doch eine tolle Idee so gegen die Iraner vorzugehen und auch total human, schliesslich hätte man da sonst eine Bombe draufgeworfen!

      Natürlich freue ich mich über die Aufdeckung. So ein neues System loszutreten wird wieder viel Geld und Zeit kosten.

      1. @Shai Glaubst du ernsthaft dass wir über den gesamten Eisberg sprechen und nichtnur über dessen Spitze.

        Zudem häufen sich auch Parallelen aus unterschiedlichem Ursprung.

        Siehe Darkhotel, EnergeticBear[Dragonfly] oder Regin.

        Hier zielen diverse Interessengruppen auf näherungsweise identische Ziele ab.

        ZUFALL ? ? ?

    2. Wird es nicht.
      Über diesen Staatstrojaner ließt man ja nur im Internet auf einschlägigen Seiten. Irgendwo etwas in Massenmedien?
      Zu TV kann ich nicht sagen, da ich seit 13 Jahren keinen mehr besitze.

      Und zudem; Gedankenassoziation Normalbürger: Trojaner, Kriminelle, pöhse, !=Staat.

      Solange Menschen immer weiter wählen gehen, wird sich daran nichts, aber auch gar nichts ändern. Ein System läßt sich nunmal nicht von innen umkrempeln/zerstören/ändern. Auch wenn das viele glauben.

  1. Da gibts noch so viel mehr drüber zu schreiben, zu berichten und auch zu spekulieren.

    Warum wurde die Schadsoftware 2011 plötzlich gelöscht und dann später in einer neueren Version veröffentlich?

    Zieht man den Vergleich zu Stuxnet, Duqu, Flame und anderen Versionen dieser Schadsoftware und betrachtet deren Verbreitung, bekommt man den Eindruck, dass da politische Akteure ein weltweites Netz gespannt haben, um nicht nur den Traffic abgreifen zu können, sondern auch um Abbilder von Netzwerkstrukturen entwerfen zu können. Das passt ganz gut zu verschiedenen Projekten (einige öffentlich einsehbar), mit denen die NSA versucht eine Art Internetweltkarte zu erstellen und Netzwerkstrukturen zu visualisieren.

    1. was macht man mit einer internetweltkarte und visualisierter netzwerkstruktur? mehr und effizienter überwachen?

      1. @koebes [aka. Koch] Man überwacht gezielt Personen deren techn. Entwicklungstätigkeit eine Gefährdung der energiewirtschaftlichen Interessen darstellt. Im weitesten Sinne den Versuch diese zu kaufen, siehe Link Oben – Cyberwarfare – Kommentare ggf. diese zu entwenden.

      2. @Insideout: Die Fokussierung auf Energiewirtschaftliche Ziele sollte man imho nicht zu hoch hängen. Da gibts andere Schadsoftware, die eher auf Finanzinstitutionen ausgerichtet sind oder speziell gegen politische Institutionen laufen. Da wird man versuchen schlicht und ergreifend alles relevante abzudecken.

        @koebes: Die DARPA (Defense Advanced Research Projects Agency), quasi die Forschungsabteilung der Armee, hat Projekte zur Ausschreibung freigegeben in denen es einerseits ermöglicht werden soll Netzwerkstrukturen visuell darzustellen und diese dann systematisch mit eigenen Programmen angreifen zu können. Da geht es wohl eher um eine Art automatisierung der Angriffe. Hacker müssen dann nicht mehr in monatelanger Arbeit Programme zusammenstellen und diese Einsetzen. Die Programme werden zukünftig von Firmen im militärischen Bereich hergestellt und die „Soldaten“ sind dann die „Ausführer“. Man muss die Technik nicht verstehen, man muss sie nur nutzen können.

      3. Angriffsziele kann man leicher erfolgreich angreifen, wenn man die Struktur des Zielnetzes kennt. Wenn z. B. der zentrale Server von Firma xyz sehr gut geschützt ist, aber ein Partnerunternehmen auch Zugang zu dem Server hat, muss man sich u. U. nur in das Netz des Partners hacken (das ggf. schlechter geschützt ist), um Zugang zum eigentlichen Zielserver zu bekommen. In der neueren Vergangenheit gab es da ja durchaus 1-2 Hacks, die genauso gelaufen sind – nicht mit der Vordertür ins Haus fallen, sondern still und leise über die Hintertür rein.

      1. Die Zip Datei ist völlig harmlos und die Dateien darin sind so umbenannt, dass man sie nicht versehentlich ausführen kann (auf ihren Hash so scheints).

        Bei mir hat Kaspersky nach auspacken direkt ein Gemetzel im Ordner veranstaltet. :)

  2. Mit anderen Worten: Das EU-Mitglied Großbritannien betreibt nachgewiesenermaßen in Kooperation mit den USA aktive Spionage gegen andere EU-Mitglieder, deren Unternehmen und die Institutionen der EU. Mit welcher Berechtigung ist ein Schädling wie UK noch EU-Mitglied? Wer sogar die EU-Institutionen bespitzelt, gehört aus der EU entfernt.

    1. @Bernd Der Schädling sitzt ganz woanders. DE ist beteiligt, sicherlich nicht unwissentlich und falls doch zumindest nicht schuldlos. Daher sollte man sich vor dem „nacktem Finger auf angezogene Leute“ fragen in welchem Interesse DE sich an Derartigem beteiligt.

      Und bitte keine Vorwand Nebelkerzen als Argument.

    2. Wechsel halt zu COLT, dann weisst Du gleich schon aus dem Namen, was Du hast! :)

      Die COL kann es sich nicht leisten hinter Blackrocks Alladin zurückzufallen.

  3. Sie haben nicht angegriffen, Sie tun dies die ganze Zeit, auch in dieser Sekunde. Die Vergangenheitsform ist irreführend.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.