Eine hoch entwickelte Malware wurde entdeckt, die mindestens genauso ausgeklügelt ist wie Stuxnet und Duqu. Einige Sicherheitsforscher sind sogar der Meinung, dass „Regin“ die beiden aussticht.

Regin wurde vermutlich durch einen Nationalstaat entwickelt, da erhebliche finanzielle Mittel in die Entwicklung eines so mächtigen und komplexen Codes gesteckt werden müssen. Die Malware richtet sich an Organisationen im Bereich Telekommunikation, Energie und Gesundheit.

Forscher von Symantec entdeckten, dass die Angreifer Regin ihren Zielen über unterschiedliche Angriffsmethoden unterschieben, unter anderem durch eine Zero-Day-Sicherheitslücke im Yahoo! Messenger.

„Regin ist eine sehr komplexe Malware, deren Struktur einen ungesehenen Grad an technischer Kompetenz erahnen lässt“,

so Symantec.

„Die Malware ist anpassbar, mit einer großen Bandbreite an Fähigkeiten in Abhängigkeit von dem Ziel. Es gibt dem Steuernden ein leistungsfähiges System zur Massenüberwachung an die Hand und wurde bereits in Spionage-Kampagnen gegen Regierungsorganisationen, Infrastrukturbetreiber, Unternehmen, Forscher und Privatpersonen verwendet.“

„Vermutlich dauerte die Entwicklung mehrere Monate, wenn nicht Jahre, und die Autoren haben sich große Mühen gegeben, jegliche Spuren zu verwischen. Die Fähigkeiten des Programms und die nötigen Ressourcen hinter Regin deuten darauf hin, dass es eines der wichtigsten Cyber-Spionage-Tools eines Staates ist.“

Die Sicherheitsfirma nannte keine bestimmte Nation als möglichen Urheber von Regin. Sie gab aber bekannt, dass die meisten Opfer aus Russland und Saudi-Arabien stammen und zwischen 2008 und 2011 angegriffen wurden. 2013 tauchte eine Version der Malware erneut auf. Circa die Hälfte der Betroffenen waren Privatpersonen und kleine Unternehmen. Ein Viertel der Opfer sind Betreiber von Telekommunikationsinfrastruktur. Das restliche Viertel teilen sich das Gastgewerbe, Energie-, Flug- und Forschungsorganisationen zu ungefähr gleichen Teilen. Russland und Saudi-Arabien machen ungefähr die Hälfte aller bekannten Angriffe aus, gefolgt von Mexiko und Irland mit jeweils neun Prozent.

„Das Design macht Regin wie geschaffen für lang anhaltende Überwachungskampagnen gegenüber seinen Zielobjekten“,

so die Forscher. In dem Bericht „Regin: Top-tier espionage tool“ schreiben die Forscher, dass es wegen seiner Komplexität eigentlich nur mit Stuxnet oder Duqu vergleichbar ist. Viele seiner Elemente sind außerdem noch nicht entschlüsselt.

Regin kann viele hoch angepasste Nutzlasten installieren, wie zum Beispiel Remote-Access-Trojaner, um Tastenanschläge und Screenshots aufzuzeichnen, Tools zum Abfangen von Informationen über Prozesse und Speicherauslastung sowie Software zum Wiederherstellen gelöschter Daten.

Artikel von wired.com, 24.11.2014: Researchers Uncover Government Spy Tool Used to Hack Telecoms and Belgian Cryptographer
Artikel von theregister.co.uk, 24.11.2014: ‚Regin‘: The ‚New Stuxnet‘ spook-grade SOFTWARE WEAPON described