Computerwurm Regin Digitale Super-Wanze

Geheime Super-Software spioniert Länder wie Russland und Saudi-Arabien aus: Regin ist kompliziert zu durchschauen und soll noch nicht in Gänze entdeckt worden sein.

(Foto: REUTERS)
  • Eine hochkomplexe Schadsoftware mit dem Namen "Regin" wurde durch Experten entdeckt. Mit ihr wurden vor allem Ziele in Saudi-Arabien und in Russland angegriffen.
  • Der Urheber der Software ist bislang unbekannt. Regin zu programmieren könne Monate bis Jahre gedauert haben, vermuten die Forscher von Symantec.
  • Die Angriffe laufen in mehreren Stufen ab und sind so angelegt, dass sie nur schwer zu entdecken sind.
Von Hakan Tanriverdi und Helmut Martin-Jung

So gefährlich wie Stuxnet und Duqu

Wenn Liam O'Murchu spricht, könnte man meinen, er wolle hier ein großes Puzzle lösen. Doch O'Murchu ist Sicherheitsforscher bei der Software-Firma Symantec. Sein Job ist es, Computerprogramme zu analysieren und zu prüfen, wie sie aufgebaut sind. Seine Firma ist nun auf einen Virus gestoßen, den sie in einem Atemzug nennt mit den Schadprogrammen Stuxnet und Duqu. Ziel der Malware waren nach den bisherigen Erkenntnissen unter anderem die Computer von Telekommunikationsunternehmen, Behörden sowie Privatpersonen. Die meisten Angriffe registrierte Symantec in Russland und Saudi-Arabien.

Die Schadsoftware ist hochkomplex. O'Murchu sagt in einem Interview mit dem Fortune-Magazin: "Wir haben nicht alle Komponenten. Wir haben nicht genug Information, um (Regin) zu verstehen." Wie bei einem Puzzle mit 10 000 Teilen. Man erkennt, dass es auf den ersten Blick unüberschaubar ist, und auch einzelne Stücke des Endproduktes kann man schon erahnen. Was genau dahintersteckt hingegen, ist noch ein Rätsel.

Wo das Virus zugeschlagen hat

Was sie bisher herausgefunden haben, haben die Forscher bei Symantec in einem Bericht zusammengefasst (hier als PDF-Version). Sie vermuten, dass das Virus 2008 eingesetzt wurde, möglicherweise auch schon früher. Anfang 2009 stießen sie auf verdächtige Dateien, die sie schließlich als Teil einer mehrstufigen Angriffssoftware identifizierten, wie Antti Tikkanen von der Sicherheitsfirma F-Secure berichtet. 2013 entdeckten Experten eine zweite, noch raffinierter aufgebaute Version von Regin. Sie schließen nicht aus, dass es noch weitere, bisher nicht entdeckte Versionen der Software gibt.

Die Hälfte aller Angriffe war gegen Privatpersonen und Kleinunternehmen gerichtet, ein weiteres Viertel gegen Telekommunikationsnetze. In zehn Ländern konnten die Forscher den Einsatz von Regin nachweisen: Neben Saudi-Arabien (24 Prozent) und Russland (28 Prozent) wurde das Virus in Österreich, Pakistan, Belgien, Iran, Afghanistan, Indien, Irland und Mexiko entdeckt.

Angriff in fünf Stufen

Die hochkomplexe Schadsoftware wird in fünf Stufen wirksam. Die ersten drei dienen dazu, den Virus in einen Computer einzuschleusen und ihn dort zu verstecken. Dazu werden unter anderem Dateien in Bereichen der Festplatte versteckt, die ein normaler Nutzer nicht einsehen kann. Die beiden nächsten Stufen richten den Schaden an. Sie suchen beispielsweise nach gespeicherten Passwörtern, überwachen den Datenverkehr oder machen unbemerkt Aufnahmen des Bildschirminhalts.

Ein derartiges Aufteilen der Attacke ist Teil der Puzzle-Strategie: Das Entdecken eines Angriffs enttarnt nicht die gesamte Funktionsweise des Virus, sondern nur einen Teil davon.