Neue Untersuchungen von Kaspersky und des Spiegels deuten darauf hin. Dass Spionage-Trojaner Regin von den Geheimdiensten der Five-Eyes-Allianz entwickelt wurde. Dies wirft Fragen nach der Verantwortlichkeit von NSA & GCHQ auf und legt nahe, dass der Trojaner Teil der Cyberwaffen-Plattform "Warriorpride" ist.
Die Forscher untersuchten Quellcode, den Der Spiegel am 17. Januar unter dem Codenamen "QWERTY" veröffentlicht hatte. Das Magazin hatte QWERTY dabei eindeutig mit den Five Eyes in Verbindung gebracht und als Teil einer neuen Angriffsstrategie für den "Cyberkrieg" enthüllt. Kaspersky will nun eindeutig belegt haben – dass QWERTY eigentlich ein Teil der berüchtigten Cyberwaffe Regin ist.
Vergleich auf Binär-Ebene: Teile von QWERTY & Regin sind eindeutig identisch.
Bild: Kaspersky
Laut Costin Raiu und Igor Soumenkov von Kaspersky ist QWERTY das Keylogger-Modul von Regin. Teile des Quellcodes sind genauso viel und QWERTY beziehe sich an einigen Stellen ganz klar auf Teile von Regin. Diese Abhängigkeit geht laut Kaspersky so weit: Der vom Spiegel enthüllte Code ohne Regin gar nicht benutzbar sei. Kaspersky ist sich deswegen sicher, dass die QWERTY-Entwickler ebenfalls die Macher von Regin sind.
Cricket-Anspielungen im Code
Der Spiegel wiederum will belegen können, dass QWERTY von den Sicherheitsdiensten der Five Eyes stammt ? also von NSA » GCHQ oder deren Kollegen aus Australien « Kanada beziehungsweise Neuseeland. So habe man im Quellcode eindeutige Hinweise auf die Sportart Cricket entdeckt die sich vor allem im Commonwealth (und damit in der Heimat der Five Eyes) reger Beliebtheit erfreut. Genauer rechnet man die Entwicklung der Spionagesoftware dem Australian Signals Directorate (ASD) zu ? also dem australischen NSA-Equivalent. QWERTY & Regin sind dadurch unter Umständen Teil der Cyberwaffen-Infrastruktur die in den Snowden-Dokumenten unter dem internen Codenamen "Warriorpride" geführt wird.
Regin soll unter anderem bei dem Angriff auf den Provider Belgacom zum Einsatz gekommen sein. Der Schadcode wird als ausgefeilteste Cyberwaffe seit Stuxnet gehandelt. Schon im vergangenen Jahr hatten Experten vermutet, dass NSA und GCHQ hinter dessen Entwicklung stecken. Ende Dezember soll Regin auf dem privaten Rechner einer Mitarbeiterin des Kanzleramts entdeckt worden sein. Kaspersky will den Schädling inzwischen bei 27 verschiedenen Unternehmen, Institutionen und Privatleuten gefunden haben.
Kommentare