claus13
Elite Lord
- Registriert
- 10. April 2009
- Beiträge
- 4.258
- Reaktionspunkte
- 4.023
- Punkte
- 383
[h=2]Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe[/h] Von
Das Spähprogramm Regin attackiert Unternehmen weltweit, nun zeigt sich: Die Software ist augenscheinlich ein wichtiges Werkzeug der Geheimdienste NSA und GCHQ. Auch in Deutschland kommt sie zum Einsatz.
Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT ist sich sicher: Die komplexe, am Sonntag von
Die Beobachtungen über die Regin-Version, die Fox IT analysiert habe, deckten sich mit dem, was die Konkurrenten
Fotostrecke
Bei Fox IT ist man nicht nur überzeugt, dass Regin ein NSA-Werkzeug ist. Die Analysten glauben sogar zu wissen, wie die NSA selbst Teile der Regin-Architektur nennt. Gefunden haben Prins und seine Leute diese Namen in einem Produktkatalog der NSA-Abteilung ANT, den der SPIEGEL und SPIEGEL ONLINE Ende 2013 veröffentlichten. Die dort genannten Spionageprogramme Straitbizarre und Unitedrake gehörten zur Regin-Architektur, sagt Prins. Beide werden im ANT-Katalog als eine Art Universalspähwerkzeuge geführt. Sie können den ANT-Katalog selbst durchblättern - indem Sie unten auf die interaktive Grafik klicken. "Maßgeschneiderte Funktionen nachgeladen"
Diverse andere Spionageprogramme können als Plugin mit Unitedrake oder Straitbizarre verknüpft werden. Beide öffnen Hintertüren in fremde Rechner, beide erlauben es, Daten von diesem Rechner aus nach draußen zu schmuggeln, in beide lassen sich diverse andere Module einstöpseln, die dann innerhalb des befallenen Rechners oder Netzwerks bestimmte Aufgaben erfüllen. Diese Module können etwa Daten kopieren, Tastatureingaben protokollieren, die Kamera einschalten oder gleich die vollständige Kontrolle über den Rechner übernehmen.
Interaktive Grafik
Ein eigenes Geheimnetz zum Abtransport der geklauten Daten
Regin sei eine extrem hochentwickelte Spionagesoftware, die mit ebenso hochentwickelter Infrastruktur zusammenarbeitet, sagt Fox-IT-Chef Prins. Gesteuert und abgefragt werden die Schnüffelimplantate demnach über ein eigenes Netz im Netz, das an das
Eingeschleust werden die Spionageprogramme mit einer Methode, die SPIEGEL ONLINE im Dezember 2013 im Detail beschrieben hat. Die NSA und GCQH nennen das System Quantumtheory, Quantum Insert oder schlicht Quantum. Dabei werden Zielpersonen manipulierte Versionen von Webseiten gezeigt, in die von einem NSA-Server aus Schadcode injiziert wird (siehe Video).
DER SPIEGEL
Im Fall Belgacom wurden etwa manipulierte Seiten des Business-Netzwerks LinkedIn benutzt, um Zugang zu den Rechnern von Belgacom-IT-Personal zu erlangen. Belgacom passt ins Regin-Lagebild: Über ein Viertel aller Regin-Infektionen, die die Fachleute von Symantec entdeckt haben, betrafen Telekommunikationsunternehmen.
Fotostrecke
Aus deutscher Sicht sind die Erkenntnisse über Regin besonders interessant: Erst im September berichtete der SPIEGEL, dass NSA und GCHQ in streng geheimen internen Unterlagen behaupten, über eigene Zugangspunkte in die Netzwerken
Nach der SPIEGEL-Berichterstattung hatte die Staatsanwaltschaft Köln im Fall der Hürther Firma
Kam Regin also auch in deutschen Rechnern und Netzwerkinfrastrukturen zum Einsatz?
Bei der Deutschen Telekom heißt es, der Virus sei Experten bereits seit einiger Zeit bekannt. "Unsere Abwehrmechanismen sind entsprechend darauf eingestellt", so eine Sprecherin des Bonner Konzerns. "Zudem hat eine vorsorgliche Untersuchung unserer Sicherheitsexperten bislang keinen Hinweis ergeben, dass das Netz der Deutschen Telekom betroffen sein könnte. Unsere Erkenntnisse decken sich mit einem Symantec-Bericht, wonach der Virus bislang in Europa lediglich in Österreich, Belgien und Irland aufgetreten ist."
Kaspersky
Die Opec hat bis zum Erscheinen dieses Artikels nicht auf eine Anfrage zum Thema Regin geantwortet.
Quelle:
Es sollen Menschen geben die dies absolut Spitze finden, ich nicht.
Gruß
claus13
Sie müssen registriert sein, um Links zu sehen.
und
Sie müssen registriert sein, um Links zu sehen.
Sie müssen registriert sein, um Links zu sehen.
Regin-Code auf Kaspersky-Website: "Von einem Computer zum anderen fortgepflanzt"Das Spähprogramm Regin attackiert Unternehmen weltweit, nun zeigt sich: Die Software ist augenscheinlich ein wichtiges Werkzeug der Geheimdienste NSA und GCHQ. Auch in Deutschland kommt sie zum Einsatz.
Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT ist sich sicher: Die komplexe, am Sonntag von
Sie müssen registriert sein, um Links zu sehen.
ist ein Werkzeug der Geheimdienste der USA und Großbritanniens. Prins sagt, die Analysten seines Unternehmens hätten die mächtige Schadsoftware schon in Aktion beobachtet - offenbar, nachdem man sie auf den Rechnern eines Fox-IT-Kunden gefunden hatte: "Wir konnten den laufenden Betrieb analysieren", sagt Prins, man habe "gut sehen können, wie sie sich von einem Computer zum anderen fortpflanzt, wie sie Daten speichert und abtransportiert". Die Beobachtungen über die Regin-Version, die Fox IT analysiert habe, deckten sich mit dem, was die Konkurrenten
Sie müssen registriert sein, um Links zu sehen.
und
Sie müssen registriert sein, um Links zu sehen.
nun über die Späh-Software berichten. Fox IT habe jedoch nicht deren Code analysiert: "Wir haben unsere eigenen Quellen." Offenbar sind die meisten großen IT-Sicherheitsdienstleister schon einmal mit dem hochentwickelten Spionagewerkzeug in Berührung gekommen - auch
Sie müssen registriert sein, um Links zu sehen.
über einen Regin-Kontakt schon 2009. Jetzt aber lassen sich ihre Erkenntnisse miteinander verknüpfen: Regin ist offenkundig ein zentraler Bestandteil der Überwachungs- und Spionagearchitektur von NSA und GCQH, theoretisch längst bekannt, aber bislang nie klar identifiziert. Fox IT hat unter anderem für den belgischen Telekommunikationskonzern Belgacom gearbeitet, dessen Rechnersysteme vom britischen Geheimdienst GCHQ angezapft wurden, wie
Sie müssen registriert sein, um Links zu sehen.
. Explizit weist Prins aber darauf hin, dass er nicht "über irgendetwas sprechen kann, was wir im Belgacom-Netzwerk gefunden haben". Auftraggeber von IT-Sicherheitsfirmen legen meist großen Wert darauf, dass die Dienstleister sich möglichst bedeckt halten. Fotostrecke
-
Sie müssen registriert sein, um Links zu sehen.
-
Sie müssen registriert sein, um Links zu sehen.
-
Sie müssen registriert sein, um Links zu sehen.
Sie müssen registriert sein, um Links zu sehen.
Bei Fox IT ist man nicht nur überzeugt, dass Regin ein NSA-Werkzeug ist. Die Analysten glauben sogar zu wissen, wie die NSA selbst Teile der Regin-Architektur nennt. Gefunden haben Prins und seine Leute diese Namen in einem Produktkatalog der NSA-Abteilung ANT, den der SPIEGEL und SPIEGEL ONLINE Ende 2013 veröffentlichten. Die dort genannten Spionageprogramme Straitbizarre und Unitedrake gehörten zur Regin-Architektur, sagt Prins. Beide werden im ANT-Katalog als eine Art Universalspähwerkzeuge geführt. Sie können den ANT-Katalog selbst durchblättern - indem Sie unten auf die interaktive Grafik klicken. "Maßgeschneiderte Funktionen nachgeladen"
Diverse andere Spionageprogramme können als Plugin mit Unitedrake oder Straitbizarre verknüpft werden. Beide öffnen Hintertüren in fremde Rechner, beide erlauben es, Daten von diesem Rechner aus nach draußen zu schmuggeln, in beide lassen sich diverse andere Module einstöpseln, die dann innerhalb des befallenen Rechners oder Netzwerks bestimmte Aufgaben erfüllen. Diese Module können etwa Daten kopieren, Tastatureingaben protokollieren, die Kamera einschalten oder gleich die vollständige Kontrolle über den Rechner übernehmen.
Interaktive Grafik
-
Sie müssen registriert sein, um Links zu sehen.SPIEGEL ONLINE
Sie müssen registriert sein, um Links zu sehen.
Sie müssen registriert sein, um Links zu sehen.
über eine dieser maßgeschneiderten Funktionen: Ein bestimmtes Regin-Plugin diente offenbar dem Zweck, im Netzwerk eines Mobilfunkbetreibers Informationen über Anrufe aufzuspüren, abzuspeichern und abzutransportieren. Prins zufolge konnten seine Fachleute noch eine weitere Funktion beobachten, die Kennern des ANT-Katalogs bekannt vorkommen dürfte: "Sie konnten Daten aus Netzwerken holen, die eigentlich offline waren." Das erreiche die Software, indem die heimlich abgezweigten Daten zunächst lokal speichere. Dann warte sie, bis etwa ein Administrator für Wartungsarbeiten seinen Laptop einstöpsele. Die gespeicherten Daten würden dann auf den Computer des ahnungslosen Technikers kopiert - und von dort aus im nächsten Schritt zum jeweiligen Geheimdienst versandt, sobald eine Internetverbindung verfügbar sei. Ein eigenes Geheimnetz zum Abtransport der geklauten Daten
Regin sei eine extrem hochentwickelte Spionagesoftware, die mit ebenso hochentwickelter Infrastruktur zusammenarbeitet, sagt Fox-IT-Chef Prins. Gesteuert und abgefragt werden die Schnüffelimplantate demnach über ein eigenes Netz im Netz, das an das
Sie müssen registriert sein, um Links zu sehen.
zur Anonymisierung von Internetnutzern erinnere: Beide operieren auf der Basis von hintereinander geschachtelten Rechnern, über die Daten geleitet werden, sowie auf Verschlüsselung. Während aber Adressen im Tor-Netzwerk stets auf ".onion" enden, hätten die Schöpfer von Regin "ihren eigenen Adressraum". Dass die NSA
Sie müssen registriert sein, um Links zu sehen.
, ist schon seit vielen Monaten bekannt - offenbar konnten die Fox-IT-Analysten es nun in Aktion beobachten. Eingeschleust werden die Spionageprogramme mit einer Methode, die SPIEGEL ONLINE im Dezember 2013 im Detail beschrieben hat. Die NSA und GCQH nennen das System Quantumtheory, Quantum Insert oder schlicht Quantum. Dabei werden Zielpersonen manipulierte Versionen von Webseiten gezeigt, in die von einem NSA-Server aus Schadcode injiziert wird (siehe Video).
Sie müssen registriert sein, um Links zu sehen.
DER SPIEGEL
Im Fall Belgacom wurden etwa manipulierte Seiten des Business-Netzwerks LinkedIn benutzt, um Zugang zu den Rechnern von Belgacom-IT-Personal zu erlangen. Belgacom passt ins Regin-Lagebild: Über ein Viertel aller Regin-Infektionen, die die Fachleute von Symantec entdeckt haben, betrafen Telekommunikationsunternehmen.
Sie müssen registriert sein, um Links zu sehen.
, dass NSA und GCHQ sich insbesondere für diverse Unternehmen aus der Telekom-Branche interessieren, bieten die doch die Zugänge, die man für noch weitergehende Überwachung und Spionage braucht. Fotostrecke
-
Sie müssen registriert sein, um Links zu sehen.
-
Sie müssen registriert sein, um Links zu sehen.
-
Sie müssen registriert sein, um Links zu sehen.
Sie müssen registriert sein, um Links zu sehen.
Aus deutscher Sicht sind die Erkenntnisse über Regin besonders interessant: Erst im September berichtete der SPIEGEL, dass NSA und GCHQ in streng geheimen internen Unterlagen behaupten, über eigene Zugangspunkte in die Netzwerken
Sie müssen registriert sein, um Links zu sehen.
in Hürth zu verfügen. Die entsprechenden Dokumente kommen aus einer GCHQ-Abteilung für Netzwerkanalyse im britischen Bude, die auch für den Belgacom-Angriff verantwortlich zeichnete, und die offenbar Zugriff auf das gesamte Quantum-Arsenal der NSA hat. Auch das Vorgehen im Falle von
Sie müssen registriert sein, um Links zu sehen.
gleicht auffallend dem bei den Angriffen auf Belgacom. Im Fall der deutschen Firma wurden ebenfalls zunächst zentrale Mitarbeiter ausfindig gemacht, deren Rechner dann geknackt wurden. Der Telekom ist der Virus schon länger bekannt Nach der SPIEGEL-Berichterstattung hatte die Staatsanwaltschaft Köln im Fall der Hürther Firma
Sie müssen registriert sein, um Links zu sehen.
, gegen unbekannt.Kam Regin also auch in deutschen Rechnern und Netzwerkinfrastrukturen zum Einsatz?
Sie müssen registriert sein, um Links zu sehen.
erklärte auf Anfrage, sein Unternehmen habe im Licht der neuen Erkenntnisse zu Regin umgehend eine neue Prüfung der eigenen Systeme eingeleitet. Bei der Deutschen Telekom heißt es, der Virus sei Experten bereits seit einiger Zeit bekannt. "Unsere Abwehrmechanismen sind entsprechend darauf eingestellt", so eine Sprecherin des Bonner Konzerns. "Zudem hat eine vorsorgliche Untersuchung unserer Sicherheitsexperten bislang keinen Hinweis ergeben, dass das Netz der Deutschen Telekom betroffen sein könnte. Unsere Erkenntnisse decken sich mit einem Symantec-Bericht, wonach der Virus bislang in Europa lediglich in Österreich, Belgien und Irland aufgetreten ist."
Kaspersky
Sie müssen registriert sein, um Links zu sehen.
allerdings von weiteren Ländern, in denen man Regin aufgespürt habe - darunter auch Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte auf Anfrage: "Das BSI hat derzeit keine Hinweise auf eine Betroffenheit der deutschen Regierungsnetze mit der Schadsoftware Regin." Aussagen zu möglichen Urhebern könne man nicht treffen. Es handele sich jedoch um ein "hochwertiges, sehr komplexes Schadprogramm", vermutlich gemacht für "professionelle, gezielte, schwer zu detektierende Cyber-Angriffe ... bei denen über einen längeren Zeitraum sensible Informationen ausgespäht werden sollen". Im Fokus stünden offenbar "vor allem Regierungseinrichtungen und Telekommunikationsprovider". In Österreich, genauer gesagt in Wien, hat unter anderem die Organisation erdölexportierender Länder (Opec) ihren Sitz. Wie der
Sie müssen registriert sein, um Links zu sehen.
, war auch die Opec ein Spionageziel von NSA und GCHQ. Um die Rechner von Opec-Mitarbeitern anzuzapfen, kam Snowden-Dokumenten zufolge eine ganz bestimmte Technik zum Einsatz. Sie heißt Quantum Insert.Die Opec hat bis zum Erscheinen dieses Artikels nicht auf eine Anfrage zum Thema Regin geantwortet.
Quelle:
Sie müssen registriert sein, um Links zu sehen.
Es sollen Menschen geben die dies absolut Spitze finden, ich nicht.
Gruß
claus13
