Cyberwaffe Regin: Beweise für Verantwortlichkeit von NSA und GCHQ
Untersuchungen von Kaspersky und des Spiegels zeigen, dass der berüchtigte Spionage-Trojaner Regin von Geheimdiensten der Five-Eyes-Allianz entwickelt wurde. Die Vermutung liegt nahe, dass der Trojaner Teil der Cyberwaffen-Plattform "Warriorpride" ist.
(Bild: Kaspersky)
- Fabian A. Scherschel
Schadcode-Experten von Kaspersky haben deutliche Hinweise darauf gefunden, dass der Spionagevirus Regin von den Geheimdiensten der Five-Eyes-Allianz entwickelt wurde. Die Forscher untersuchten Quellcode, den Der Spiegel am 17. Januar unter dem Codenamen "QWERTY" veröffentlicht hatte. Das Magazin hatte QWERTY dabei eindeutig mit den Five Eyes in Verbindung gebracht und als Teil einer neuen Angriffsstrategie für den "Cyberkrieg" enthüllt. Kaspersky will nun eindeutig belegt haben, dass QWERTY eigentlich ein Teil der berüchtigten Cyberwaffe Regin ist.
(Bild: Kaspersky)
Laut Costin Raiu und Igor Soumenkov von Kaspersky ist QWERTY das Keylogger-Modul von Regin. Teile des Quellcodes sind identisch und QWERTY beziehe sich an einigen Stellen ganz klar auf Teile von Regin. Diese Abhängigkeit geht laut Kaspersky so weit, dass der vom Spiegel enthüllte Code ohne Regin gar nicht benutzbar sei. Kaspersky ist sich deswegen sicher, dass die QWERTY-Entwickler auch die Macher von Regin sind.
Cricket-Anspielungen im Code
Der Spiegel wiederum will belegen können, dass QWERTY von den Sicherheitsdiensten der Five Eyes stammt – also von NSA, GCHQ oder deren Kollegen aus Australien, Kanada beziehungsweise Neuseeland. So habe man im Quellcode eindeutige Hinweise auf die Sportart Cricket entdeckt, die sich vor allem im Commonwealth (und damit in der Heimat der Five Eyes) reger Beliebtheit erfreut. Genauer rechnet man die Entwicklung der Spionagesoftware dem Australian Signals Directorate (ASD) zu – also dem australischen NSA-Equivalent. QWERTY und Regin sind somit unter Umständen Teil der Cyberwaffen-Infrastruktur, die in den Snowden-Dokumenten unter dem internen Codenamen "Warriorpride" geführt wird.
Regin soll unter anderem bei dem Angriff auf den Provider Belgacom zum Einsatz gekommen sein. Der Schadcode wird als ausgefeilteste Cyberwaffe seit Stuxnet gehandelt. Schon im vergangenen Jahr hatten Experten vermutet, dass NSA und GCHQ hinter dessen Entwicklung stecken. Ende Dezember soll Regin auf dem privaten Rechner einer Mitarbeiterin des Kanzleramts entdeckt worden sein. Kaspersky will den Schädling inzwischen bei 27 verschiedenen Unternehmen, Institutionen und Privatleuten gefunden haben. (fab)
