Der intelligente
Computerwurm Stuxnet wurde 2010 entdeckt, war sehr komplex und soll programmiert worden sein, um das iranische Atomprogramm zu infiltrieren. Jetzt gibt es laut dem Antiviren-Hersteller
Symantec eine neue Bedrohung, die ähnlich wie Stuxnet aufgebaut ist und Unternehmen, Staat wie auch Privatanwender ausspioniert: Regin.
Die beste Schad-Software ist die, die nicht auffällt: Seit mindestens sechs Jahren soll die verbesserte Schad-Software im Internet sein Unwesen treiben. "Ein fortschrittlicher Hintertür-Trojaner, mit einem selten gesehenen Grad an technischer Kompetenz, das den Angreifern ein mächtiges Framework für Massenüberwachnung bereit stellt", beschreibt Symantec Regin. Aufgrund seiner komplexen Struktur und zahlreicher Stealth-Funktionen, wird vermutet, dass es sich um ein Haupt-Spionage-Tool eines Landes handelt, dessen Entwicklung Jahre gedauert und viel Geld gekostet haben muss. Wenn Regin Computer infiziert, kann er Screenshots erstellen, die Mauskontrolle übernehmen, Passwörter stehlen, Netzwerkverbindungen überwachen und gelöschte Dateien wiederherstellen.
Laut Symantec geht
Regin bei der Infiltration in fünf Phasen vor, ähnlich wie Stuxnet: Sie sind bis auf die erste Phase versteckt und verschlüsselt. Wer eine einzelne Phase entdeckt, erfährt also kaum etwas über den Zweck des Programms; dafür müssten alle fünf Phasen als Ganzes verstanden werden. So soll Regin bereits seit 2008 Staatsbehörden, Forschungseinrichtungen, Unternehmen sowie private Nutzer infiziert haben. Etwa die Hälfte der Infektionen galten letzteren beiden. Das zweitbeliebteste Ziel waren mit knapp einem Viertel der Angriffe das Telekom-Netz. Geografisch gesehen galten rund Die Hälfte der Angriffe Russland und Saudi-Arabien.
Wie Regin sich verbreitet ist unbekannt. Symantec vermutet manipulierte Webseiten, Browser- oder Anwendungslücken als Hauptgrund. Als Anzeichen einer Regin-Infektion listet Symantec in ihrem
Regin-Whitepaper (PDF), mehrere Dateinamen, Pfade und Registryeinträge auf.