Süddeutsche Zeitung

Computerwurm Regin:Digitale Super-Wanze

  • Eine hochkomplexe Schadsoftware mit dem Namen "Regin" wurde durch Experten entdeckt. Mit ihr wurden vor allem Ziele in Saudi-Arabien und in Russland angegriffen.
  • Der Urheber der Software ist bislang unbekannt. Regin zu programmieren könne Monate bis Jahre gedauert haben, vermuten die Forscher von Symantec.
  • Die Angriffe laufen in mehreren Stufen ab und sind so angelegt, dass sie nur schwer zu entdecken sind.

Von Hakan Tanriverdi und Helmut Martin-Jung

So gefährlich wie Stuxnet und Duqu

Wenn Liam O'Murchu spricht, könnte man meinen, er wolle hier ein großes Puzzle lösen. Doch O'Murchu ist Sicherheitsforscher bei der Software-Firma Symantec. Sein Job ist es, Computerprogramme zu analysieren und zu prüfen, wie sie aufgebaut sind. Seine Firma ist nun auf einen Virus gestoßen, den sie in einem Atemzug nennt mit den Schadprogrammen Stuxnet und Duqu. Ziel der Malware waren nach den bisherigen Erkenntnissen unter anderem die Computer von Telekommunikationsunternehmen, Behörden sowie Privatpersonen. Die meisten Angriffe registrierte Symantec in Russland und Saudi-Arabien.

Die Schadsoftware ist hochkomplex. O'Murchu sagt in einem Interview mit dem Fortune-Magazin: "Wir haben nicht alle Komponenten. Wir haben nicht genug Information, um (Regin) zu verstehen." Wie bei einem Puzzle mit 10 000 Teilen. Man erkennt, dass es auf den ersten Blick unüberschaubar ist, und auch einzelne Stücke des Endproduktes kann man schon erahnen. Was genau dahintersteckt hingegen, ist noch ein Rätsel.

Wo das Virus zugeschlagen hat

Was sie bisher herausgefunden haben, haben die Forscher bei Symantec in einem Bericht zusammengefasst (hier als PDF-Version). Sie vermuten, dass das Virus 2008 eingesetzt wurde, möglicherweise auch schon früher. Anfang 2009 stießen sie auf verdächtige Dateien, die sie schließlich als Teil einer mehrstufigen Angriffssoftware identifizierten, wie Antti Tikkanen von der Sicherheitsfirma F-Secure berichtet. 2013 entdeckten Experten eine zweite, noch raffinierter aufgebaute Version von Regin. Sie schließen nicht aus, dass es noch weitere, bisher nicht entdeckte Versionen der Software gibt.

Die Hälfte aller Angriffe war gegen Privatpersonen und Kleinunternehmen gerichtet, ein weiteres Viertel gegen Telekommunikationsnetze. In zehn Ländern konnten die Forscher den Einsatz von Regin nachweisen: Neben Saudi-Arabien (24 Prozent) und Russland (28 Prozent) wurde das Virus in Österreich, Pakistan, Belgien, Iran, Afghanistan, Indien, Irland und Mexiko entdeckt.

Angriff in fünf Stufen

Die hochkomplexe Schadsoftware wird in fünf Stufen wirksam. Die ersten drei dienen dazu, den Virus in einen Computer einzuschleusen und ihn dort zu verstecken. Dazu werden unter anderem Dateien in Bereichen der Festplatte versteckt, die ein normaler Nutzer nicht einsehen kann. Die beiden nächsten Stufen richten den Schaden an. Sie suchen beispielsweise nach gespeicherten Passwörtern, überwachen den Datenverkehr oder machen unbemerkt Aufnahmen des Bildschirminhalts.

Ein derartiges Aufteilen der Attacke ist Teil der Puzzle-Strategie: Das Entdecken eines Angriffs enttarnt nicht die gesamte Funktionsweise des Virus, sondern nur einen Teil davon.

Bei den Angriffen auf die Rechner von Telekommunikationsunternehmen ging es den Erkenntnissen von Symantec zufolge um Verbindungsdaten, also darum, wer wann mit wem kommuniziert hat. Regin kann demnach aber auch mit mehr als 50 speziellen, auf ein einzelnes Ziel zugeschnittenen Bausteinen von Schadsoftware ausgestattet werden.

Durch diesen komplizierten Aufbau ist es möglich, dass das Virus für jahrelange Spionage-Aktivitäten eingesetzt werden konnte, schreiben die Forscher. Wie genau das Virus sich verbreitet hat, ist unklar. Symantec vermutet, dass Zielpersonen dazu gebracht werden, Webseiten aufzurufen - von diesen aus würden dann Programme installiert.

Zusammengenommen deuten all diese Fakten darauf hin, dass es sich um einen Virus handelt ähnlich der Größenordnung von Stuxnet, mit dem das iranische Atomprogramm sabotiert wurde. Stuxnet soll eine Gemeinschaftsarbeit von Israel und USA sein. Ein Computerwurm, der sich selbständig verbreiten kann und auf Scada-Systeme von Siemens abzielte, mit denen Industrieanlagen gesteuert wurden.

Im Unterschied dazu zielt Regin auf keine besondere Gruppe ab, sondern attackiert extrem unterschiedliche Ziele. "Regin ist ein Baukasten zur Massenüberwachung", urteilt Candid Wüest, Experte für Computerviren bei Symantec.

Wer hinter Regin stecken könnte

Computer von Telekommunikationsunternehmen, Behörden und Privatpersonen sind offenbar seit mehreren Jahren ausspioniert worden. Sowohl der Aufwand, der hinter dem Spionageprogramm steckt, wie auch dessen Ziele deuten nach Ansicht von Fachleuten auf eine von einem Staat organisierte Aktion hin.

Besonders häufig wurden Hauptstränge von Telekommunikationsanbietern attackiert. Wichtige Ziele der digitalen Angriffe waren außerdem Hotels, Energieunternehmen und Fluggesellschaften. Hinweise auf die Urheber haben die Sicherheitsfirmen bis jetzt nicht gefunden. Da ein ganzes Team Monate oder Jahre brauche, eine Software dieser Komplexität zu programmieren, glauben die Experten aber, dass der Supervirus von einem Geheimdienst stammt

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.2234958
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
Süddeutsche.de/ma/rus
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.