Computer & Internet

Medienbericht: Ist der Trojaner „Regin“ ein NSA-Werkzeug?

• Bookmarks: 22


Anti-Viren-Experten haben einen sogenannten „Keylogger“ identifiziert. So ein Trojaner liest alles mit, was man in die Tastatur tippt. Von denen gibt es viele. Nur dieser stammt offenbar direkt von der NSA und hat den Weg schon bis ins Bundeskanzleramt gefunden.

„Regin“ ist eine Software, die Computernutzer ausspionieren kann. Sie tut es auf besonders heimtückische Weise, in dem sie alles mitliest, was man in die Tastatur eintippt: Mails, Passwörter, Suchanfragen, die Adressen von Webseiten. Dieser Trojaner ist dem russischen Anti-Viren-Hersteller Kaspersky seit längerem bekannt. Solche Keylogger sind nicht selten und Sicherheitsfirmen haben täglich damit zu tun.

So wurde „Regin“ schon bei einem Angriff im Jahr 2011 gegen die EU-Kommission identifiziert. Ebenso wurde er wahrscheinlich nachgewiesen bei der Internationalen Atomenergiebehörde IAEA und laut Medienbericht gibt es sogar eine Referatsleiterin aus der Europolitikabteilung im Bundeskanzleramt, deren Privatrechner mit Regin befallen war.

Das Brisante an „Regin“ ist nun, dass die Software von der NSA kommt. Das behauptet jedenfalls der „Spiegel“. Der Beweis basiert auf Material des ehemaligen NSA-Mitarbeiters Edward Snowden, das dem Nachrichtenmagazin seit Anfang des Jahres vorliegt. Darin wird unter anderem eine Schadsoftware namens „QWERTY“ beschrieben. Sie werde von den „Five Eyes“ eingesetzt, einem Geheimdienst-Verbund der Vereinigten Staaten und der Länder Großbritannien, Kanada, Neuseeland und Australien.

Diese in den Snowden-Dokumenten beschriebene Schadsoftware scheint laut Spiegel nun die gleiche zu sein, die bei den Anti-Viren-Forschern von Kaspersky unter dem Namen „Regin“ behandelt wird. Oder zumindest ein Teil davon. Kasperky-Forschungschef Costin Raiu lässt sich jedenfalls mit den Worten zitieren „Nach unserer technischen Analyse ist ’QWERTY’ identisch mit dem Plugin 50251 von ‚Regin’“.

Mehr zum Thema

Doch weder Kaspersky noch das Konkurrenzunternehmen Symantec schließen daraus, dass die Schadsoftware „Regin“ von dem „Five-Eye“-Verbund stamme. Für den „Spiegel“ ist die Herkunft jedoch eindeutig. Da der Quellcode für QWERTY aus dem Archiv von Edward Snowden stamme und dieser mit „Regin“ identisch sei, müsse auch Regin von den Geheimdiensten dieser Länder entwickelt worden sein.

Als zweites Argument führt der „Spiegel“ einen Vorfall aus dem Jahr 2013 an. Damals sei das belgische Telekommunikationsunternehmen Belgacom vom britischen Geheimdienst GCHQ mit der Software „Regin“ angegriffen worden. Schon damals vermutete man, dass diese Angriffstechnik von der NSA und GCHQ stamme.

Nun könnte es immer noch möglich sein, dass jemand den Quellcode kopiert hat und eine eigene Schadsoftware daraus entwickelt hat. Doch Sicherheitsforscher halten dies für unwahrscheinlich, da es sich bei Regin wohl um einen sehr komplexen Trojaner handelt.