Telekom-Unternehmen, die EU-Kommission und eine Mitarbeiterin des Kanzleramts: Alle wurden zum Opfer der Schadsoftware Regin. Die Analyse eines vom SPIEGEL veröffentlichten Codes zeigt nun: Regin ist ein NSA-Werkzeug.
Als der SPIEGEL Mitte Januar anhand neuer Unterlagen aus dem Snowden-Archiv das digitale Wettrüsten der Nachrichtendienste mit immer
[Links nur für registrierte Nutzer], veröffentlichte SPIEGEL ONLINE auch das Beispiel einer in den Snowden-Materialien enthaltenen Schadsoftware
[Links nur für registrierte Nutzer].
Für die meisten Leser waren das elf Seiten Zeichensalat. Doch die Experten der russischen IT-Sicherheitsfirma Kaspersky glichen den Code mit eigenen Schadprogrammfunden ab. Dabei fanden sie klare Übereinstimmungen mit einer
elaborierten Cyberwaffe, die seit November 2014 international Schlagzeilen macht.Damals hatten sowohl Kaspersky als auch die US-Sicherheitsfirma Symantec erstmals über den Fund eines Cyberwaffensystems berichtet, das sie
"Regin" tauften. Laut Kaspersky war die Schadsoftware damals schon mehr als zehn Jahre im Einsatz und war gegen Ziele
in mindestens 14 Ländern eingesetzt worden - neben
Deutschland, Belgien und Brasilien gehörten dazu beispielsweise Indien und Indonesien.
Symantec sprach von einer "hochkomplexen" Bedrohung. Viele Angriffsziele stammten aus dem Telekommunikationssektor, andere aus den Bereichen Energie und Fluggesellschaften. Beide Unternehmen beschrieben Regin in Superlativen. Es handle sich um die gefährlichste Cyberwaffe seit
[Links nur für registrierte Nutzer] - der berüchtigten Schadsoftware zum Angriff auf das iranische Atomprogramm.
"Wir sind sicher, das wir hier das
Keylogger-Modul von Regin vor uns uns haben", sagt Kaspersky-Forschungschef Costin Raiu mit Blick auf den vom
[Links nur für registrierte Nutzer]. Ein Keylogger ist ein Programm, das alle Tatstatureingaben mitschneiden kann - beispielsweise Passwörter, E-Mails, Textdokumente - und sie dann unbemerkt an seinen Urheber schickt.
"Nach unserer technischen Analyse ist QWERTY identisch mit dem Plugin 50251 von Regin", sagt Raiu. Zudem lasse sich daraus ablesen, dass es sich bei Regin offenbar um eine gemeinsame Angriffsplattform verschiedener Institutionen aus verschiedenen Ländern handele. Das Unternehmen veröffentlicht die Befunde
[Links nur für registrierte Nutzer].
Mit der neuen Analyse liegt nun ein eindeutiger Beleg dafür vor, dass es sich bei Regin tatsächlich um die tatsächlich um die
Cyber-Angriffsplattform des "Five-Eyes"-Verbunds handelt, also der Geheimdienste der USA, Großbritanniens, Kanadas, Neuseelands und Australiens. Kaspersky äußert sich wie auch Symantec nicht direkt zu den mutmaßlichen Urhebern von Regin. An der Herkunft der Software kann es aber nun
kaum noch Zweifel geben.
- Der vom SPIEGEL veröffentlichte Ausschnitt stammt aus dem Archiv von Edward Snowden.
- Auch auf den Rechnern des belgischen Telekommunikationsunternehmens Belgacom war offenbar Regin am Werk - Belgacom war ein Angriffsziel des britischen GCHQ, wie der [Links nur für registrierte Nutzer]. Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT, das unter anderem den Belgacom-Angriff analysiert hatte, sagte SPIEGEL ONLINE im November 2011, Regin sei [Links nur für registrierte Nutzer].
Auch weitere, weichere Indizien sprechen sprechen dafür, dass Regin ein Five-Eyes-Werkzeug ist:
- Im Code von QWERTY und Regin finden sich zahlreiche Verweise auf die im Commonwealth beliebte Sportart Kricket.
- Es gibt viele Übereinstimmungen mit einem Cyberwaffen-System, das die Geheimdienste selbst in den Snowden-Dokumenten "Warriorpride" nennen.
- Auch die bislang bekannten Angriffsziele passen zu den politischen Überwachungsaufträgen der Five Eyes, wie sie aus dem Archiv des Whistleblowers hervorgehen.