Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > NSA steckt hinter Reign-Trojaner

Überführt

NSA steckt hinter Reign-Trojaner

27. Januar 2015, 14:12 Uhr | Daniel Dubsky
© igor / Fotolia

Jahrelang wurden Regierungen und Unternehmen mit dem Super-Spionagewerkzeug »Reign« auskundschaftet. Nun bestätigt sich: Es handelt sich um ein Werkzeugt der NSA.

Im vergangenen November wurden zahlreiche Informationen zu einem hochkomplexen Trojaner bekannt, den Sicherheitsexperten »Reign« getauft hatten und mit dem offenbar schon seit Jahren Regierungen und Unternehmen ausspioniert wurden. Schon damals deutete einiges darauf hin, dass er von westlichen Geheimdiensten entwickelt wurde – immerhin wurde er auch auf Rechnern des belgischen Providers Belgacom und der EU entdeckt, die Visier des britischen Geheimdienstes GCHQ und der NSA standen.

Wie Spiegel Online nun berichtet, hat sich dieser Verdacht bestätigt. Der Spiegel hatte vor kurzem den Code einer »QWERTY« genannten Schadsoftware aus den Snowden-Dokumenten veröffentlicht – und die Sicherheitsexperten von Kaspersky entdeckten darin Übereinstimmungen mit dem Reign-Code. Daraus könne man schließen, dass die QWERTY-Entwickler und die Reign-Entwickler dieselben seien oder zumindest zusammenarbeiteten, schreiben Costin Raiu und Igor Soumenkov von Kaspersky in einem Weblog-Beitrag. Die Chance, dass jemand den Code ohne Zugriff auf die Reign-Plattform dupliziert habe, sei wegen der großen Komplexität des Schädlings ausgesprochen klein.

Nicht ganz so zurückhaltend formuliert es Spiegel Online: »An der Herkunft der Software kann es aber nun kaum noch Zweifel geben«, heißt es dort. Es liege ein »eindeutiger Beleg dafür vor, dass es sich bei ‚Regin‘ tatsächlich um die Cyber-Angriffsplattform des ‚Five Eyes‘-Verbunds handelt, also der Geheimdienste der USA, Großbritanniens, Kanadas, Neuseelands und Australiens.«

Kaspersky zufolge ist QWERTY das Keylogger-Modul von Reign, das Plugin »50251«. Als unabhängiges Tool könne es nicht eingesetzt werden, sondern nur als Teil der Reign-Plattform. Bei den Untersuchungen habe man zudem festgestellt, dass die Plugins nicht in nativer Form auf den infizierten Rechnern zu finden sind, sondern nur innerhalb komprimierter und verschlüsselter virtueller Dateisysteme. Um sie aufzuspüren, müsse man daher schon den Speicher eines Rechners untersuchen oder das virtuelle Dateisystem entschlüsseln.

Lesen Sie mehr zum Thema

Kaspersky Lab GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky: Docker-API im Visier

Container sind Angriffsziel

Ransomware-Statistik von Kaspersky

Keine Entwarnung bei Erpresser-Malware

Kaspersky-Umfrage 

Kann Cyber-Immunität die Zahl von Cyberangriffen reduzieren?

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Matchmaker+
Securepoint GmbH

Securepoint GmbH
Zyxel Networks A/S

Zyxel Networks A/S
Riello UPS GmbH

Riello UPS GmbH
Plusnet GmbH

Plusnet GmbH
WatchGuard Technologies

WatchGuard Technologies
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH