GCHQ und NSA stecken angeblich hinter ausgefeilter Spyware Regin
Britische und US-amerikanische Geheimdienste sollen mit der Spionagesoftware Regin den massiven Cyberangriff auf Belgacom und EU-Behörden ausgeführt haben. Die Malware kann auch Mobilfunk-Stationen überwachen.
NSA-Zentrale
(Bild: dpa, National Security Agency)
Die seit dem Wochenende öffentlich bekannte Cyberwaffe Regin ist unter anderem für die ausgefeilten Cyber-Attacke auf das belgische Telekommunikationsunternehmen Belgacom eingesetzt worden, die der Konzern im Juli vorigen Jahres entdeckte. Dies berichten die Blogger von "The Intercept", zu denen auch der NSA-Enthüllungsreporter Glenn Greenwald gehört. Sie berufen sich dabei auf IT-Sicherheitsexperten und eigene technische Analysen.
Regin wurde demnach auf damals infizierten internen Computersystemen und E-Mail-Server von Belgacom gefunden. Hinter dem massiven Angriff steckte laut Dokumenten des Whistleblowers Edward Snowden der britische Geheimdienst GCHQ, der als engster Partner der NSA gilt. Auch die Tochter BICS (Belgacom International Carrier Services) der halbstaatlichen belgischen Firma war betroffen, die einen Austauschknoten für Daten- und Kommunikationsdienste zwischen mehreren hundert Providern einschließlich der Zugangsanbieter von EU-Gremien betreibt.
Das nur schwer zu entdeckende Spähprogramm Regin konnte sich laut "The Intercept" auch auf anderen EU-Computersystemen einnisten, die als Überwachungsziele der NSA gelten. Es stehe so außer Zweifel, dass Großbritannien und die USA die Cyber-Attacken über Regin steuerten. Davon überzeugt sei auch Ronald Prins vom niederländischen Dienstleister Fox-IT, den Belgacom für eine erste Analyse des Angriffs heranzog.
Belgacom-Generalsekretär Dirk Lybaert hatte vor dem NSA-Untersuchungsausschuss des EU-Parlaments voriges Jahr von einer Attacke mit einer "hochentwickelte Malware" gesprochen, Berichte über einen Bezug zum GCHQ aber als Spekulation bezeichnet. Die Schadsoftware habe sich im internen System eingenistet, das vom öffentlichen Netz, speziellen Kundenleitungen oder Cloud-Lösungen getrennt sei. Von etwa 20.000 angeschlossenen Rechnern seien rund 120 Windows-Server und -Clients nebst Microsoft-Office-Anwendungen befallen gewesen.
Auf Regin hatte zunächst die IT-Sicherheitsfirma Symantec aufmerksam gemacht. Inzwischen hat sich auch der Konkurrent Kaspersky Lab zu Wort gemeldet. Diesem lagen nach eigenen Angaben erste Hinweise auf die Spionagesoftware seit Frühling 2012 vor. Seitdem habe das Unternehmen daran gearbeitet, der bislang "am schwersten zu fassenden Malware" auf die Spur zu kommen. Eines der bekanntesten Opfer sei der belgische Verschlüsselungsexperte Jean Jacques Quisquater gewesen.
Besonders ungewöhnlich an Regin ist laut Kaspersky die Fähigkeit, in Mobilfunknetze einzudringen und diese zu überwachen. So seien bei einem Betreiber zwischen April und Mai 2008 in Protokolldateien Hinweis darauf gefunden worden, dass die Spyware eine GSM-Basisstation angegriffen und Daten aus Mobilfunkzellen ausgelesen und weitergeleitet habe.
Die russischen Sicherheitsexperten haben insgesamt 27 verschiedene Opfer in 14 Ländern ausgemacht, darunter auch Deutschland. Weiter betroffen gewesen seien Telcos, Regierungseinrichtungen sowie internationale politische Gremien, Forschungsorganisationen, Finanzinstitute sowie Individuen in Ländern wie Afghanistan, Algerien, Belgien, Brasilien, Indien, Iran, Malaysia, Pakistan, Fidschi, Russland oder Syrien. Vieles deute darauf hin, dass Regin in neuen Varianten nach wie vor aktiv sei. (anw)
