Eine Analyse mit einem anderen NSA-Quellcode zeigt unwiderlegbare Parallelen. Der zehn Jahre aktive Trojaner war zumindest Werkzeug der Behörde.
Im November tauchten erstmals Informationen zu einer Schadsoftware auf, die im großen Stil operierte. Zudem blieb sie auch zehn Jahre unentdeckt. Bislang gab es nur Vermutungen, wer hinter dem auf den Namen Regin getauften Trojaner steckt. Nun scheinen sich diese zu bewahrheiten.
In neuen Unterlagen im Snowden-Archiv fand sich auch ein umfassendes Beispiel zu QWERTY, einem weiteren Schadcode, der auffallende Ähnlichkeiten zu Regin aufweist.
Bei beiden handelt es sich um ein Keylogger-Modul. Das bedeutet, dass, sobald der Trojaner ins System eingeschleust wurde, jede einzelne Tastatur-Eingabe registriert wird. "Wir sind sicher, dass wir hier das Keylogger-Modul von Regin vor uns haben", erklärt Kaspersky-Forschungschef Costin Raiu gegenüber dem Nachrichtenmagazin "Spiegel".
Entscheidende Codefragmente ident
Nicht nur, dass viele Zeilen des Codes identisch sind sowie auch das veränderte Plugin (Erweiterungsmodul). Experten zufolge ist es äußerst unwahrscheinlich bis unmöglich, dass ein derartiges Programm von zwei voneinander unabhängigen Quellen entstehen kann.
Damit gilt es als praktisch bewiesen, dass hinter Regin der "Five-Eyes-Verbund" (USA, Großbritannien, Kanada, Neuseeland und Australien) steckt. Unklar ist aber nach wie vor, wer tatsächlich die Software entwickelt hat.
Regins Aufbau
Bei den Untersuchungen durch verschiedene Sicherheitsfirmen wurde bekannt, dass vorrangig Windows-Rechner von dem Trojaner betroffen waren. Auf den infizierten PCs hat sich die Software in mehreren Stufen festgesetzt. Ein Entdecken war in der Vergangenheit nahezu unmöglich.Das Programm setzt sich auf infizierten Computern in mehreren Stufen fest und ist darauf getrimmt, lange unentdeckt zu bleiben. Das Sicherheitsunternehmen Symantec geht davon aus, dass es noch unentdeckte Funktionen und Varianten der Software gibt.
Bislang ist klar, dass der Trojaner aus fünf verschiedenen Stufen besteht. Bis auf die erste davon sind alle davon verschlüsselt. Sobald die erste Stufe ausgeführt wird, werden die anderen sozusagen angestoßen und aktiv. Außerdem besteht die Schadsoftware aus zahlreichen einzelnen Modulen, wodurch auch gezielte Angriffe möglich sind.
>> Spiegel.de
>> Zum ausführlichen Kaspersky-Bericht
(bg)