Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Highend-Trojaner spioniert seit Jahren bei Regierungen und Firmen

Regin

Highend-Trojaner spioniert seit Jahren bei Regierungen und Firmen

24. November 2014, 9:42 Uhr | Daniel Dubsky
© Symantec

Symantec warnt vor einem äußerst komplexen Trojaner, der offenbar schon seit mehreren Jahren unbemerkt Regierungen, Forschungseinrichtungen und Firmen ausspioniert.

Regin sei eine komplexe Malware, deren Struktur ein hohes technisches Verständnis zeige, das man so nicht allzu oft sehe, heißt es bei Symantec. Sie biete ein breites Spektrum an Fähigkeiten, abhängig vom Ziel, und werde bereits seit Jahren genutzt, um Regierungsorganisationen, Infrastrukturbetreiber, Unternehmen, Forschungseinrichtungen und Privatnutzer auszuspionieren. Wer hinter Regin steckt, ist laut Symantec unklar, allerdings würden die Fähigkeiten der Malware und die Ressourcen, die in die Entwicklung geflossen seien, darauf hindeuten, dass es sich um das Spionagewerkzeug eines Staates handelt. Die Entwicklung habe sicher Monate, wenn nicht gar Jahre gedauert, und die Entwickler hätten ihre Spuren geschickt verwischt.

Regin ist den Sicherheitsexperten zufolge modular aufgebaut und kann weitgehend angepasst werden, je nachdem welche Ziele attackiert werden sollen. Die Analyse sei schwierig gewesen, da die Malware einen Aufbau mit fünf Stufen besitzt, die bis auf die erste allesamt versteckt und verschlüsselt sind. Wird die erste Stufe ausgeführt, startet laut Symantec ein Domino-Effect, der die anderen Stufen entschlüsselt und lädt. Jede dieser Stufen liefere nur sehr wenige Informationen über das Gesamtpaket, weshalb es erst nach Offenlegung aller fünf Stufen möglich gewesen sei, die Malware zu untersuchen und die Bedrohung, die von ihr ausgeht, zu verstehen.

Laut Symantec gab es zwischen 2008 und 2011 schon eine Reihe von Regin-Infektionen. Danach sei die Malware offenbar zurückgezogen worden und erst 2013 in verbesserter Form wieder aufgetaucht. Zu den Standardfunktionen zählt der Fernzugriff auf infizierte Systeme, die Aufnahme von Screenshots, das Abgreifen von Passwörtern und die Überwachung des Netzwerktraffics. Spezifischere und komplexere Funktionen können laut Symantec jedoch nachgeladen werden, etwa für die Überwachung von Microsofts IIS Web Server oder um den Traffic der Controller von Mobilfunk-Basisstationen abzugreifen. Die Ziele der Spionagesoftware liegen den Sicherheitsexperten zufolge vor allem in Russland und Saudi Arabien.

Lesen Sie mehr zum Thema

Symantec (Deutschland) GmbH Central Europe
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Symantec (Deutschland) GmbH Central Europe

Chief Information Security Officer

Check Point beruft CISO für EMEA

Stärkerer Fokus auf DACH-Region

Axis ernennt erstmals einen DACH-Vertriebschef

Tommy Grosche-Nachfolge

Susanne Endress leitet Fortinet-Channel

Nach massivem Ärger im Channel

Arrow soll Symantec-Distribution wieder aufrichten

IT-Sicherheit

Accenture übernimmt Symantecs Geschäft mit Security-Services

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
elektrofachkraft.de

elektrofachkraft.de
G DATA CyberDefense AG

G DATA CyberDefense AG
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk