Skript von G-Data soll Malware aufdecken

Regin: Malware massgeschneidert

Uhr | Updated
von Coen Kaat

G-Data will die Schadsoftware Regin aufspüren können. Der deutsche Sicherheitsanbieter hat dazu ein Skript veröffentlicht, dass ausgeführt werden kann, egal welche Sicherheitslösung auf dem Rechner installiert ist.

G-Data hat ein Python-Skript veröffentlicht, das die Spuren der Spionagesoftware Regin aufdecken soll. Das Skript könne von Regin angelegte Dateisysteme erkennen, teilte der deutsche Sicherheitsanbieter mit. Es spiele bei der Ausführung des Skripts keine Rolle, welche Sicherheitslösung auf dem Rechner installiert sei. Das Skript richtet sich nach Angaben des Anbieters gezielt an IT-Verantwortliche und Experten.

Eine Malware-Plattform mit vielen Tools

Auf die Bedrohung, die von Regin ausgeht, haben Symantec und Kaspersky Lab bereits zuvor hingewiesen. Im Gegensatz zu anderen Bedrohungen, handelt es sich bei Regin nicht um ein einzelnes Schadprogramm, sondern um eine komplexe Malware-Plattform, schreibt Kaspersky in seiner Analyse.

Der modulare Aufbau ermögliche es Nutzern, das Spionageprogramm mit einer Vielzahl an flexiblen Funktionen auszurüsten. Regin lässt sich quasi für jedes Ziel massschneidern. Die verschiedenen Tools bieten unterschiedliche Funktionen zur verdeckten Fernsteuerung und Datenübertragung.

Flexibel und massgeschneidert

Symantec hat nach eigenen Angaben bereits dutzende verschiedene Payloads von Regin analysiert. Das Repertoire an Standard-Features umfasse demnach die Fähigkeit Screenshots aufzunehmen, Network-Traffic zu überwachen, gelöschte Daten wiederherzustellen, sowie die Kontrolle über die Mausfunktionen an sich zu reissen.

Zusätzlich sorgt die Malware-Plattform auch dafür, dass ihre Präsenz möglichst keine grossen Wellen schlägt. Fortgeschrittene antiforensische Funktionen und ein eigens entwickeltes Encrypted-Virtual-File-System sollen für anonyme Spionage-Aktionen sorgen.

Unergründlich auch nach der Entdeckung

So könnte Regin jahrelang unentdeckt und ungehindert auf einem Rechner seine Arbeit verrichten. Sogar nach der Entdeckung, sei es noch immer sehr schwer herauszufinden, was die Malware genau mache, schreibt Symantec.

Die Entwicklung einer derartigen Plattform bedarf Expertise, Ressourcen und sehr viel Zeit. Die technische Kompetenz, die hinter Regin steckt, sei gemäss allen drei Sicherheitsanbietern aussergewöhnlich hoch. Symantec kommt folglich auch zu einem deutlichen Schluss: Hinter Regin steckt ein Staat oder Geheimdienst und keine Hacker-Gruppe. "Wir vermuten hinter der Malware einen Geheimdienstursprung, da für die Realisierung eines solchen Schädlings ein immenser finanzieller und zeitlicher Aufwand nötig ist", sagt etwa Eddy Willems, Security Evangelist bei G-Data.

Infektion in mehreren Stufen

Die Infizierung eines Rechners erfolgt in mehreren Stufen. Bis auf die erste Phase, ist das Programm bei jeder Stufe sehr darauf bedacht, nicht aufzufallen. Symantec vermutet, dass die Malware-Plattform über gefälschte Websiten via dem Browser auf den Rechner gelangen. In einem Fall will der Sicherheitsspezialist den Ursprung auf den Instant-Messenger von Yahoo zurückgeführt haben.

Auch GSM ist nicht sicher

Eine Besonderheit von Regin sei die Infektion von GSM-Netzwerken, heisst es in dem Bericht von Kaspersky. Dies sei zugleich der ungewöhnlichste und interessanteste Aspekt der Bedrohung. Denn neben dem Sammeln von Informationen, ermöglicht Regin auch die Umleitung von Anrufen. "Wir sind heute sehr abhängig von Mobilfunknetzen, die allerdings auf Basis von veralteten Kommunikationsprotokollen arbeiten, und daher dem Endanwender nur wenig oder gar keine Sicherheit gewähren" erklärt Costin Raiu, Director of Global Research & Analysis Team bei Kaspersky Lab. Raiu geht ins Detail: "Für Strafverfolgungsbehörden sind Mechanismen in GSM-Netze eingebaut worden, um verdächtige Personen zu überwachen und zu verfolgen – doch böswillige Dritte können dies für sich missbrauchen und Angriffe verschiedenster Art auf Mobilfunk-Kunden ausführen."

Infektionsverlauf und Verbreitung

Wann Regin genau auf die Welt kam, scheint unklar. Laut Kaspersky könnten die ersten Spuren der Regin-Plattform auf 2003 datiert werden. Symantec spricht von mehreren Ereignissen zwischen 2008 und 2011, schliesst frühere Infektionen aber nicht aus. Nach 2011 sei die Schadsoftware abrupt verschwunden, um 2013 in neuer Form wieder aufzutauchen.

Zu den nachgewiesenen Zielen gehören Telkos, Regierungseinrichtungen, Finanzinstitute und Forschungsorganisationen. Knapp die Hälfte aller Infektionen beträfen allerdings Privatpersonen oder KMUs. Die Schadsoftware habe es besonders auf Personen abgesehen, die im Bereich der Mathematik oder Kryptografie, also der Verschlüsselung, forschen.

Mittlerweile wurden gemäss G-Data Ziele in 18 Ländern angegriffen, darunter Deutschland, Russland, Syrien und Indien. Die Analyse der drei Sicherheitsexperten deutet darauf hin, dass es sich wohl erst um die Spitze des Eisbergs handeln könnte.

Webcode
hf4tgR4V