Backdoor-Trojaner "Regin": Es könnten auch Schweizer Firmen betroffen sein

24. November 2014, 07:57
  • regierung
  • china
  • usa
  • schweiz
image

Neu entdeckte Spionage-Software spähte jahrelang Behörden und Firmen aus. Bisher sind in der Schweiz keine Infektionen bekannt, doch das muss nichts heissen.

Neu entdeckte Spionage-Software spähte jahrelang Behörden und Firmen aus. Bisher sind in der Schweiz keine Infektionen bekannt, doch das muss nichts heissen.
Symantec hat eine neue Malware entdeckt, die laut Aussage des Security-Spezialisten vergleichbar mit Stuxnet und Duqu ist, und "mit grosser Wahrscheinlichkeit im Auftrag einer Regierung geschaffen wurde", wie es in einer Mitteilung heisst. Von Symantec "Regin" genannt, sei diese Schadsoftware wohl seit 2008 im Einsatz. Der Backdoor-Trojaner werde für Spionage und Überwachung verwendet und sei von einer Komplexität, die man selten sehe: Sein Code sei grösstenteils auf dem infizierten Rechner unsichtbar und er tue alles, um zu verschleiern, dass Daten entwendet werden. Regin nimmt staatliche Organisationen, Infrastrukturbetreiber, Firmen sowie Akademiker und Privatpersonen ins Visier.
Candid Wüest, Schweizer Aushängeschild von Symantec, sagt zu inside-it.ch, man habe hierzulande keine Infektionen von Regin festgestellt. Somit bestehe keine direkte Gefahr. "Aber wie mit jeder Spionage-Attacke könnte es natürlich in Zukunft auch Schweizer Unternehmen treffen", stellt Wüest klar. Wieso bei Regin Österreich betroffen sei, aber die Schweiz nicht, könne er nicht abschliessend sagen. "Es könnte sein, dass kein für die Angreifer interessantes Ziel vor Ort war, es könnte sein, dass man die Ziele über Niederlassungen in anderen Ländern angegriffen hat oder es könnte auch sein, dass gewisse Firmen angegriffen wurden, aber die Infektion nicht entdeckt wurde. Da wir nicht die Möglichkeit hatten, ein Sinkhole einzurichten, sehen wir leider nur Infektionen bei unseren Kunden oder Partner, welche mit uns Informationen teilen", so Wüest.
Zur Erinnerung: Bei der ersten Stuxnet-Variante 0.5 gab es 2 Prozent Infektionen in der Schweiz. Und auch beim Nachfolger Duqu gab es Schweizer Opfer.
Auch Serge Droz, Team Leader Security bei der Stiftung Switch, betont, dass Regin, so wie jedes Remote Accees Tool, natürlich auch in der Schweiz zum Einsatz gekommen sein könnte. "Wir haben dazu im spezifischen Fall jedoch keine Hinweise", so Droz. Regin sei technisch sehr fortschrittlich, aber klar auf Windows-Systeme fokussiert. "Das legt den Schluss nahe, dass Regin primär zu Spionage-Zwecken eingesetzt wurde." Droz glaubt zudem, dass ein Vergleich mit Stuxnet nicht angezeigt sei, denn dieser war zur Sabotage von Industrieanlagen gemacht.
Der Melde- und Analysestelle Informationssicherung (Melani) ist Regin schon seit längerer Zeit bekannt, "und wir beobachten die Entwicklung weiterhin aufmerksam", sagt deren stellvertretender Leiter Max Klaus zu inside-it.ch. Cyber-Angriffe seien bekanntlich ein weltweites Phänomen, das nicht vor Ländergrenzen Halt mache. "So gesehen ist selbstverständlich nicht auszuschliessen, dass schweizerische kritische Infrastrukturen von Regin und/oder anderer Schadsoftware betroffen sein könnten." Melani steht laut Klaus – nicht nur in diesem Zusammenhang – in täglichem Kontakt mit den Betreibern kritischer Infrastrukturen in der Schweiz. "Bezüglich Regin haben wir momentan keine Kenntnis davon, dass eine kritische Infrastruktur aus der Schweiz betroffen ist", so Klaus.
Vor allem Russland und Saudi-Arabien im Visier
Betroffen sind diesmal offenbar vor allem Unternehmen und Behörden in Russland und Saudi-Arabien. Gut jede vierte Infektion traf Betreiber von Telekom-Netzen. Dabei hätten die Angreifer zum Teil auch Zugriff auf Verbindungsdaten bekommen.
Das Programm setzt sich auf infizierten Computern in mehreren Stufen fest und ist darauf getrimmt, lange unentdeckt zu bleiben. "Regin" kann laut Symantec unter anderem Aufnahmen vom Bildschirm machen, Passwörter stehlen, den Datenverkehr überwachen und für die Angreifer gelöschte Dateien wiederherstellen.
Russland sei mit 28 Prozent der Fälle am schwersten betroffen, gefolgt von Saudi-Arabien mit 24 Prozent, erklärte Symantec. Danach folgen Irland und Mexiko mit jeweils neun Prozent sowie Indien mit fünf Prozent.
Symantec habe bisher keine direkten Hinweise auf die Urheber von "Regin" gefunden, sagte Symantec-Experte Candid Wüest. Von Niveau der Entwicklung und den Zielen her kämen Geheimdienste etwa der USA, Israels oder Chinas in Frage. Die Software sei von 2008 bis 2011 aktiv gewesen, dann sei 2013 eine neue Version aufgetaucht. (Maurizio Minetti)

Loading

Mehr zum Thema

image

Regierung will Millionen für Digitale Transformation von Basel-Land ausgeben

Für die digitale Verwaltung und den Aufbau eines Governance-Modells sollen 21 Millionen aufgewendet werden. Es gebe dazu keine Alternative, so der Regierungsrat.

publiziert am 29.9.2022
image

Schweiz: Wettbewerbsfähigkeit top, E-Government flop

In der aktuellen IMD-Studie steigt die Schweiz in Sachen digitale Wettbewerbsfähigkeit in die Top 5 auf. Dahingegen schwächelt sie im Bereich E-Government.

publiziert am 29.9.2022
image

Googles Suchfunktion erhält neue Features

Die visuelle Suche wurde verbessert und es gibt neu einen Suchoperator, mit dem sich Ergebnisse aus der unmittelbaren Umgebung anzeigen lassen.

publiziert am 29.9.2022
image

Stadt und Kanton Zug beschliessen gemeinsame Datenstrategie

Mit dem Open-Government-Data-Ansatz sollen in Zug künftig offene Verwaltungsdaten ohne Einschränkung zur freien Nutzung zur Verfügung gestellt werden.

publiziert am 29.9.2022