Die IT-Sicherheitsfirmen Symantec und Kapersky Lab veröffentlichten letzte Woche Details zu dem Trojaner «backdoor.regin». Der gefundene Trojaner ist technisch komplex und ausgereift. In einem Whitepaper zu Regin erklärt Symantec, dass bisher nur wenig ähnliche Malware gefunden wurde. Jedoch gehöre Regin in die selbe Familie wie Stuxnet.
Eine weiteres «Feature» von Regin, ist dessen Modularität und die konsequent verschlüsselte Kommunikation.
Regin also uses a modular approach, allowing it to load custom features tailored to the target. This modular approach has been seen in other sophisticated malware families such as Flamer and Weevil (The Mask), while the multi-stage loading architecture is similar to that seen in the Duqu/Stuxnet family of threats.
Schaut man sich die Verbreitung des Trojaners an, kann die Zielgruppe in folgenden Kategorien ausgemacht werden:
- Mitarbeiter von Fernmeldediensten (Telecom)
- Regierungen und Verwaltungen
- Multinationale politische Organisationen
- Finanzinstitutionen
- Forschungsanstalten
- Einzelpersonen, welche in Mathematik oder Kryptographie forschen
Kaperski kommt zum Schluss, dass der Fokus des Trojaners bei der Beschaffung von Informationen liegen muss.
While in most cases, the attackers were focused on extracting sensitive information, such as e-mails and documents, we have observed cases where the attackers compromised telecom operators to enable the launch of additional sophisticated attacks.
Nebst der Industriespionage konnte Regin einen essentiellen Teil der Mobilfunknetze angreifen. Da ein zentrales Element der Mobilfunkprovider betroffen war, konnten die Angreifer Logdateien sowie Benutzernamen und Passwörter der Administratoren auslesen, womit weitere Zugriffe möglich wurden. Experten vermuten aufgrund der hohen Entwicklungskosten und anhand der Ziele von Regin, dass der Trojaner von einem finanzkräftigen Investor, wie beispielsweise einem Staat entwickelt wurde.
Die Digitale Gesellschaft kritisierte bereits mehrfach den Einsatz von Staatstrojanern (im Behördensprech GovWare genannt). Sollte die Revision des BÜPFs angenommen werden, so dürfen Staatstrojaner zukünftig ausschliesslich die Kommunikation einer Zielperson überwachen. Da beim Bund die Expertiese fehlt, um die Funktionalität des Trojaners genau zu überprüfen, bleibt solche Schadsoftware eine Blackbox, denn niemand kann den Funktionsumfang beurteilen. Die Modularität von Regin zeigt gut auf, was heute möglich ist. Ob die Überwacher wirklich nur Kommunikation abhören, oder gar das Mikrofon und die Webcam einschalten werden, bleibt weiterhin ungeklärt.
Link zu Whitepapers