Spionage-Software im weltweiten Einsatz: „Regin“ spitzelte unentdeckt
In einer Liga mit „Stuxnet“: So wird die Spähsoftware „Regin“ beschrieben. Sie greife vor allem Telekom- Netze an. Dahinter müssten staatliche Stellen stecken.
BERLIN dpa | Eine neu entdeckte Spionage-Software hat über Jahre Unternehmen und Behörden vor allem in Russland und Saudi-Arabien ausgespäht. Das Programm sei so komplex und aufwendig, dass nur Staaten als Auftraggeber in Frage kämen, erklärte am späten Sonntag die IT-Sicherheitsfirma Symantec, die die Software entdeckt hatte. Gut jede vierte Infektion traf demnach Betreiber von Telekom-Netzen. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen. Symantec gab der Software den Namen „Regin“.
Das Programm setzt sich auf infizierten Computern in mehreren Stufen fest und ist darauf getrimmt, lange unentdeckt zu bleiben. „Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen, was es macht“, erläuterte Symantec. Inzwischen sei die Firma in der Lage, „Regin“ auf Computern ausfindig zu machen, hieß es. Zugleich geht Symantec davon aus, dass es noch unentdeckte Funktionen und Varianten der Software gibt.
Das verdeckt agierende Trojaner-Programm kann den Sicherheitsforschern zufolge unter anderem Aufnahmen vom Bildschirm machen, Passwörter stehlen, den Datenverkehr überwachen und für die Angreifer gelöschte Dateien wiederherstellen. Die Aufgaben der Software können an das Angriffsziel angepasst werden.
Russland sei mit 28 Prozent der Fälle am schwersten betroffen, gefolgt von Saudi-Arabien mit 24 Prozent, erklärte Symantec. Danach folgen Irland und Mexiko mit jeweils neun Prozent sowie Indien mit fünf Prozent. Das Magazin Wired berichtet zudem, dass im Frühjahr 2011 auch die EU-Kommission Ziel eines Angriffs durch „Regin“ geworden sei, zwei Jahre später hätte es den staatlichen belgischen Telekommunikationskonzern Belgacom getroffen.
Symantec habe bisher keine direkten Hinweise auf die Urheber von „Regin“ gefunden, sagte Symantec-Experte Candid Wüest. Von Niveau der Entwicklung und den Zielen her kämen Geheimdienste etwa der USA, Israels oder Chinas in Frage. Die Software sei von 2008 bis 2011 aktiv gewesen, dann sei 2013 eine neue Version aufgetaucht. Schon bevor Symantec „Regin“ aufspürte, will der IT-Sicherheitsdienstleiser Kaspersky 2012 einzelne Puzzleteile des Spionagetools entdeckt haben, etwa bei Kunden in Afghanistan, Brasilien, Iran aber auch in Deutschland.
Angriffsziel Afghanistan
Rund die Hälfte der bisher entdeckten „Regin“-Infektionen entfalle auf Privatpersonen und kleinere Unternehmen. Außerdem seien Fluggesellschaften, Forschungseinrichtungen sowie die Energiebranche und das Hotelgewerbe betroffen gewesen. Am augenfälligsten sei jedoch die potenzielle Fähigkeit von „Regin“ sich in die Netze von Mobilfunkbetreibern einzuhacken und sie gegebenenfalls lahmzulegen.
Kaspersky hatte in der Vergangenheit von einem solch einen umfassenden Hackerangriff auf das Mobilfunknetz in einem Land des Nahen oder Mittleren Ostens berichtet. Laut Wired könnte es sich dabei um Afghanistan handeln. Das würde sich mit Berichten decken, die auf den von Edward Snowden geleakten Dokumenten beruhen, wonach die NSA dort für einen bestimmten Zeitraum alle über das dortige Mobilnetz erfolgten Gespräche mitgeschnitten habe. Ähnliches sei auch auf den Bahamas passiert.
Die gestohlenen Informationen würden verschlüsselt gespeichert und vor allem dezentral innerhalb der angegriffenen Netzwerke übermittelt. Der dabei entstehende Datenverkehr sei einer der wenigen Hinweise, um das Spionage-Programm aufzuspüren.
„Regin“ spiele technisch in einer Liga mit dem Sabotage-Programm „Stuxnet“, das einst das iranische Atomprogramm untergrub, erklärte Symantec. Hinter „Stuxnet“ werden israelische und amerikanische Geheimdienst vermutet. Die Entwicklung von „Regin“ dürfte Monate, wenn nicht Jahre gedauert habe, schätzten die IT-Sicherheitsexperten.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechtsextreme Demo in Friedrichshain
Antifa, da geht noch was
Scholz stellt Vertrauensfrage
Traut mir nicht
Wahlprogramm der Union
Scharfe Asylpolitik und Steuersenkungen
Krise bei Volkswagen
1.000 Befristete müssen gehen
++ Nachrichten zum Umsturz in Syrien ++
Neue israelische Angriffe auf Damaskus
Russlands Nachschub im Ukraine-Krieg
Zu viele Vaterlandshelden