Spionage-Trojaner Regin: Symantec entdeckt 49 weitere Module

Das Spionage-Programm Regin ist laut Aussagen des IT-Sicherheitsunternehmens Symantec nach wie vor eines der modernsten Spähwerkzeuge, die je entdeckt wurden. Nun enthüllen neue Untersuchungen des Unternehmens, das den Trojaner im November 2014 entdeckt hatte, weitere Details zu den Fähigkeiten des Programms. Regin ist eine fünfstufige Bedrohung, die auf jeder Stufe die nächsthöhere Bedrohung nachlädt und entschlüsselt.

Noch immer nicht alle Schadfunktionen bekannt

Die Malware ist modular aufgebaut, was ihren Kontrolleuren erlaubt, je nach anzugreifendem Ziel spezifische Funktionen hinzuzufügen oder zu entfernen. Einige Module steuern die Grundfunktionen der Malware, etwa die Vernetzung oder den Umgang mit dem eigenen verschlüsselten virtuellen Dateisystem (Encrypted Virtual File System, EVFS). Andere agieren als Schadfunktionen, die die Auswirkung auf das mit Regin infizierte System bestimmen. In seinem aktualisierten Whitepaper berichtet Symantec von der Entdeckung 49 weiterer Module. Doch auch mit ihnen, die die bisher bekannte Anzahl auf 75 erhöhen, bleibt die Liste unvollständig. Die Experten fanden bei den analysierten Modulen Hinweise auf weitere Schadfunktionen.

Symantec entdeckte darüber hinaus eine umfangreiche Command-and-Control-Infrastruktur (C&C). Das komplexe Kommunikationssystem funktioniert über mit Regin infizierte Computer, die den Datenverkehr weiterleiten: Ein kompromittierter Rechner kann für einen anderen als Proxy fungieren, kommuniziert wird Peer-to-Peer (P2P). Die genutzten Netzwerkprotokolle sind außerdem erweiterbar und können für jedes kommunizierende Paar eigens konfiguriert werden. So hat der Angreifer eine fein abgestufte Kontrolle über die C&C-Kommunikation.

Komplexe C&C-Kommunikationsmechanismen

Die gesamte C&C-Kommunikation ist stark verschlüsselt und verläuft zweistufig: Über einen Kanal kontaktiert der Angreifer den infizierten Computer und weist ihn an, die Kommunikation über einen zweiten zu eröffnen. Für die Basisfunktionen der Kommunikation ist ein einziges Regin-Modul zuständig, für die verschiedenen Protokolle je ein eigenes Modul. Insgesamt identifizierte Symantec sechs Transportprotokolle: ICMP, UDP, TCP, HTTP Cookies, SSL und SMP. Die Kommunikationsfähigkeit des Trojaners erlaubt es, jedem infizierten System eine virtuelle IP-Adresse zuzuweisen. So entsteht ein Virtuelles Privates Netzwerk (VPN), mit dessen Hilfe der Angreifer Zugang zu kritischen Ressourcen in kompromittierten Organisationen erlangen und dank der Maskierung aufrechterhalten kann. Zu den weiteren Kommunikationsfähigkeiten zwischen den Modulen gehört RPC (Remote Procedure Call), mit denen die Module beispielsweise aktualisiert werden können.

Trotz der Entdeckung im vergangenen Jahr hält Symantec es für unwahrscheinlich, dass die Betreiber der Malware ihre Aktivitäten eingestellt haben – dazu ist ihr offenkundiger Erfolg zu groß. Wahrscheinlicher ist eine Neuorganisation der Gruppe und eine Aktualisierung von Regin, die die neuerliche Entdeckung des Trojaners verhindern soll. (ur)