Bei einem sind sich alle Sicherheitsexperten einig: Die jahrelang "erfolgreich" im Verborgenen agierende Spionagesoftware Regin ist dermaßen aufwändig gestaltet, dass sie eigentlich nur von staatlicher Seite stammen kann. Bleibt natürlich die Fragen: Welcher Staat steckt konkret dahinter? Und auch hier scheinen die Experten mittlerweile weitgehend übereinzustimmen, wie der "Guardian" berichtet.

Spurensuche

"Wir glauben nicht, dass Regin von 'üblichen Verdächtigen' wie Russland oder China stammt", so Mikko Hypponen, Forschungsleiter bei F-Secure. Wichtigster Hinweis sei, in welchen Ländern mit dem Trojaner infizierte Rechner gefunden wurden – und in welchen nicht. So sei keine einzige Infektion innerhalb der "Fünf Augen"-Länder – also der USA und ihrer engsten Partner Australien, Großbritannien, Kanada und Neuseeland – nachzuweisen.

Zielauswahl

Zum Vergleich: Mit fünf Prozent aller gefundenen Infektionen ist Österreich relativ stark betroffen. Die Hauptziele scheinen aber in Russland (28 Prozent) und Saudie-Arabien (24 Prozent) angesiedelt gewesen zu sein. Angesichts früherer Erfahrungen mit der Entwicklung staatlicher Spionagesoftware erscheinen also die USA, Großbritannien und Israel als die wahrscheinlichsten Herkunftsländer, so Hypponen. Eine Einschätzung, der auch die Sicherheitsforscher von Symantec zustimmen.

Versteckspiel

Im Gegensatz zu vielen anderen Trojanern ist Regin nicht auf eine massenhafte Verbreitung ausgelegt. Stattdessen ist das Ziel, unentdeckt zu bleiben, die höchste Priorität der Schadsoftware. Modular gestaltet kann Regin von außen ferngesteuert und für gezielte Spionageaufgaben genutzt werden.

Mobilfunk

Dabei bietet die Software einige für Schadsoftware sehr ungewöhnliche Funktionen, die Einblick in die Interessenlage der Auftraggeber gewähren. So kann Regin in Mobilfunknetze eindringen und dort eine falsche GSM-Zelle vorspielen. Auf diese Weise kann nicht nur eine Zelle vollständig überwacht werden, es können auch Anrufe von außen umgeleitet werden. Alles Funktionen, die ein Geheimdienst wohl äußerst interessant finden dürfte.

Hack

Laut "The Intercept" soll es denn auch Regin gewesen sein, mithilfe dessen im Jahr 2010 der belgische Provider Belgacom sowie Rechner der EU geknackt wurden. Dieser Hack wurde vergangenes Jahr aus von Edward Snowden geleakten Dokumenten öffentlich. Damals soll der Angriff vom britischen Geheimdienst GCHQ durchgeführt worden sein.

Seit 2008

Da Regin gezielt eingesetzt wird, lässt sich kein typischer Angriffsweg festmachen, dieser wurde für jedes Ziel individuell angepasst. Aufgrund ihres Aufbaus – Regin tarnt sich als Windows-Treiber – ist die Software nur sehr schwer zu entdecken. Offenbar war sie aber schon im Jahr 2011 einmal auf dem Radar von Microsoft, bevor die Malware-Entwickler ihre Kreation mit einer neuen Mutation frisch tarnten. Laut den Recherchen von "The Intercept" reichen die ersten Spuren der Spionagesoftware aber sogar bis ins Jahr 2003 zurück. (red, derStandard.at, 25.11.2014)