Das vielleicht wichtigste Spionage-Tool der NSA
Antivirenhersteller entdeckt mächtigste Spähsoftware der Welt
Nach über einen Jahr voller NSA-Enthüllungen mag eine Nachricht wie diese auf den ersten Blick nicht mehr überraschen: Das IT-Sicherheitsunternehmen Symantec gab am Sonntag bekannt, eine bisher unbekannte Spionagesoftware entdeckt zu haben. Doch der technischen Aufwand der hinter der Software Regin zu stecken scheint, überrascht selbst die Experten: Von der hochentwickeltsten Spionagesoftware, die jemals entdeckt wurde, ist die Rede. Betroffen seien Regierungen wie Unternehmen in aller Welt.
Was genau ist passiert?
Auf seiner Website schlug der Hersteller von Anti-Virenhersteller Symantec am Sonntag Alarm: Man habe eine hochentwickelte Schadsoftware namens Regin entdeckt. Ein Programm, welches seit dem Jahr 2008 im Rahmen einer »systematischen Spionagekampagne gegen internationale Ziele« eingesetzt worden sei.
Wer ist betroffen?
Vor allem Systeme von Internetprovidern und Telefonanbieter sind laut Symantec Opfer geworden. Aber auch auf Rechnern von Forschungseinrichtungen und Regierungen habe man Regin entdeckt. Unter anderem sei man auf Computern in Russland, Iran, Afghanistan, Saudi Arabien, Belgien, Irland und Österreich fündig geworden. Das Enthüllungsportal »The Intercept« vermutet außerdem, dass es sich um dasselbe Programm handelt, mit dem NSA und GCHQ Rechner des Europäischen Parlaments, der Europäischen Kommission, des Europäischen Rates sowie des belgischen Telefonfirma Belgacom infiltrierten. Die Angriffe waren vor rund einem Jahr durch Snowden-Unterlagen ans Licht gekommen. Welche Software die Geheimdienste dabei benutzten, ging aus den damaligen Unterlagen noch nicht hervor.
Was macht Regin?
Laut Symantec, das zu den renommiertesten IT-Sicherheitsfirmen der Welt zählt, handelt es sich bei Regin, um eines der ausgeklügelteste Schadprogramme, das man jemals entdeckt habe. Regin sammle systematisch Daten von den infizierten Rechnern und versende diese über verschiedene Schnittstellen. Hierfür verfügt es über zahllose Spionage- und Eingriffsmöglichkeiten: Unter anderem kann Regin Screenshots erstellen, den Datenverkehr im betroffenen Netzwerk protokollieren und Passwörter entwenden. Selbst bereits gelöschte Daten sollen wiederhergestellt werden können. Das Sicherheitsunternehmen Kaspersky berichtet außerdem, dass über infizierte Rechner von Telefonanbietern auch Anrufe mitgeschnitten werden können. Unterm Strich, so Symantec, verfüge Regin sowohl über Möglichkeiten zur Massenüberwachung als auch für gezielte Spionageoperationen beispielsweise gegen bestimmte Regierungen.
Was genau ist Regin?
Technisch handelt es sich um einen sogenannten Backdoor-Trojaner. So bezeichnen Anti-Virenhersteller Computer-Programme, die unbemerkt durch den User im Hintergrund des Rechners ihren Dienst verrichten. Im Fall von Regin habe sich die Software als Window-Treiber getarnt, berichtet »The Intercept«. Um sich selbst vor Enttarnung zu schützen, besteht, dass Programm aus mehreren Stufen, die jeweils versteckt und verschlüsselt wieder neue Stufen aktivieren können. Dieser Aufbau ähnle jenem des 2010 entdeckten Computerwurms Stuxnet, berichtet Symantec. Mit diesem hatten wahrscheinlich die USA Teile iranischer Atomanlagen sabotiert.
Wer steckt dahinter?
Die Macher von »The Intercept« sind sich sicher, dass der britische Geheimdienst GHCQ und der US-Geheimdienst NSA Regin geschaffen hat. Dies sei durch vertrauliche Quellen, die mit internen Untersuchungen bei Belgacom und der Europäischen Union vertraut seien, bestätigt worden. Auch Symantec selbst vermutet angesichts der nötigen Entwicklungszeit von möglicherweise mehreren Jahren und dem damit verbundenen finanziellen Aufwand staatliche Behörden hinter Regin. Wahrscheinlich handle es sich sogar um »eines der wichtigsten Spionageprogramme eines Staates.«
Ist die Gefahr jetzt gebannt?
Unwahrscheinlich. Symantec verweist darauf, dass das Programm 2011 deaktiviert wurde, jedoch sei seit 2013 eine neue Version aktiv. Aufgrund seiner Architektur könne Regin jahrelang arbeiten, ohne aufzufallen. Auch eine Rekonstruktion der entwendeten Daten oder des verursachten Schadens sei nur schwer möglich. Zudem könne man nicht dafür garantieren, dass man alle Bestandteile von Regin entdeckt habe. Dafür sei das Programm einfach zu gut.
Das »nd« bleibt. Dank Ihnen.
Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.
Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.
Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!
Mit Ihrer Unterstützung können wir weiterhin:
→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.
Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.