claus13
Elite Lord
- Registriert
- 10. April 2009
- Beiträge
- 4.257
- Reaktionspunkte
- 4.020
- Punkte
- 383
[h=2]Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe[/h] Von
Das Spähprogramm Regin attackiert Unternehmen weltweit, nun zeigt sich: Die Software ist augenscheinlich ein wichtiges Werkzeug der Geheimdienste NSA und GCHQ. Auch in Deutschland kommt sie zum Einsatz.
Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT ist sich sicher: Die komplexe, am Sonntag von
Die Beobachtungen über die Regin-Version, die Fox IT analysiert habe, deckten sich mit dem, was die Konkurrenten
Fotostrecke
Bei Fox IT ist man nicht nur überzeugt, dass Regin ein NSA-Werkzeug ist. Die Analysten glauben sogar zu wissen, wie die NSA selbst Teile der Regin-Architektur nennt. Gefunden haben Prins und seine Leute diese Namen in einem Produktkatalog der NSA-Abteilung ANT, den der SPIEGEL und SPIEGEL ONLINE Ende 2013 veröffentlichten. Die dort genannten Spionageprogramme Straitbizarre und Unitedrake gehörten zur Regin-Architektur, sagt Prins. Beide werden im ANT-Katalog als eine Art Universalspähwerkzeuge geführt. Sie können den ANT-Katalog selbst durchblättern - indem Sie unten auf die interaktive Grafik klicken. "Maßgeschneiderte Funktionen nachgeladen"
Diverse andere Spionageprogramme können als Plugin mit Unitedrake oder Straitbizarre verknüpft werden. Beide öffnen Hintertüren in fremde Rechner, beide erlauben es, Daten von diesem Rechner aus nach draußen zu schmuggeln, in beide lassen sich diverse andere Module einstöpseln, die dann innerhalb des befallenen Rechners oder Netzwerks bestimmte Aufgaben erfüllen. Diese Module können etwa Daten kopieren, Tastatureingaben protokollieren, die Kamera einschalten oder gleich die vollständige Kontrolle über den Rechner übernehmen.
Interaktive Grafik
Ein eigenes Geheimnetz zum Abtransport der geklauten Daten
Regin sei eine extrem hochentwickelte Spionagesoftware, die mit ebenso hochentwickelter Infrastruktur zusammenarbeitet, sagt Fox-IT-Chef Prins. Gesteuert und abgefragt werden die Schnüffelimplantate demnach über ein eigenes Netz im Netz, das an das
Eingeschleust werden die Spionageprogramme mit einer Methode, die SPIEGEL ONLINE im Dezember 2013 im Detail beschrieben hat. Die NSA und GCQH nennen das System Quantumtheory, Quantum Insert oder schlicht Quantum. Dabei werden Zielpersonen manipulierte Versionen von Webseiten gezeigt, in die von einem NSA-Server aus Schadcode injiziert wird (siehe Video).
DER SPIEGEL
Im Fall Belgacom wurden etwa manipulierte Seiten des Business-Netzwerks LinkedIn benutzt, um Zugang zu den Rechnern von Belgacom-IT-Personal zu erlangen. Belgacom passt ins Regin-Lagebild: Über ein Viertel aller Regin-Infektionen, die die Fachleute von Symantec entdeckt haben, betrafen Telekommunikationsunternehmen.
Fotostrecke
Aus deutscher Sicht sind die Erkenntnisse über Regin besonders interessant: Erst im September berichtete der SPIEGEL, dass NSA und GCHQ in streng geheimen internen Unterlagen behaupten, über eigene Zugangspunkte in die Netzwerken
Nach der SPIEGEL-Berichterstattung hatte die Staatsanwaltschaft Köln im Fall der Hürther Firma
Kam Regin also auch in deutschen Rechnern und Netzwerkinfrastrukturen zum Einsatz?
Bei der Deutschen Telekom heißt es, der Virus sei Experten bereits seit einiger Zeit bekannt. "Unsere Abwehrmechanismen sind entsprechend darauf eingestellt", so eine Sprecherin des Bonner Konzerns. "Zudem hat eine vorsorgliche Untersuchung unserer Sicherheitsexperten bislang keinen Hinweis ergeben, dass das Netz der Deutschen Telekom betroffen sein könnte. Unsere Erkenntnisse decken sich mit einem Symantec-Bericht, wonach der Virus bislang in Europa lediglich in Österreich, Belgien und Irland aufgetreten ist."
Kaspersky
Die Opec hat bis zum Erscheinen dieses Artikels nicht auf eine Anfrage zum Thema Regin geantwortet.
Quelle:
Es sollen Menschen geben die dies absolut Spitze finden, ich nicht.
Gruß
claus13
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Regin-Code auf Kaspersky-Website: "Von einem Computer zum anderen fortgepflanzt"Das Spähprogramm Regin attackiert Unternehmen weltweit, nun zeigt sich: Die Software ist augenscheinlich ein wichtiges Werkzeug der Geheimdienste NSA und GCHQ. Auch in Deutschland kommt sie zum Einsatz.
Ronald Prins, Chef des niederländischen Sicherheitsunternehmens Fox IT ist sich sicher: Die komplexe, am Sonntag von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ist ein Werkzeug der Geheimdienste der USA und Großbritanniens. Prins sagt, die Analysten seines Unternehmens hätten die mächtige Schadsoftware schon in Aktion beobachtet - offenbar, nachdem man sie auf den Rechnern eines Fox-IT-Kunden gefunden hatte: "Wir konnten den laufenden Betrieb analysieren", sagt Prins, man habe "gut sehen können, wie sie sich von einem Computer zum anderen fortpflanzt, wie sie Daten speichert und abtransportiert". Die Beobachtungen über die Regin-Version, die Fox IT analysiert habe, deckten sich mit dem, was die Konkurrenten
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
nun über die Späh-Software berichten. Fox IT habe jedoch nicht deren Code analysiert: "Wir haben unsere eigenen Quellen." Offenbar sind die meisten großen IT-Sicherheitsdienstleister schon einmal mit dem hochentwickelten Spionagewerkzeug in Berührung gekommen - auch
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
über einen Regin-Kontakt schon 2009. Jetzt aber lassen sich ihre Erkenntnisse miteinander verknüpfen: Regin ist offenkundig ein zentraler Bestandteil der Überwachungs- und Spionagearchitektur von NSA und GCQH, theoretisch längst bekannt, aber bislang nie klar identifiziert. Fox IT hat unter anderem für den belgischen Telekommunikationskonzern Belgacom gearbeitet, dessen Rechnersysteme vom britischen Geheimdienst GCHQ angezapft wurden, wie
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Explizit weist Prins aber darauf hin, dass er nicht "über irgendetwas sprechen kann, was wir im Belgacom-Netzwerk gefunden haben". Auftraggeber von IT-Sicherheitsfirmen legen meist großen Wert darauf, dass die Dienstleister sich möglichst bedeckt halten. Fotostrecke
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bei Fox IT ist man nicht nur überzeugt, dass Regin ein NSA-Werkzeug ist. Die Analysten glauben sogar zu wissen, wie die NSA selbst Teile der Regin-Architektur nennt. Gefunden haben Prins und seine Leute diese Namen in einem Produktkatalog der NSA-Abteilung ANT, den der SPIEGEL und SPIEGEL ONLINE Ende 2013 veröffentlichten. Die dort genannten Spionageprogramme Straitbizarre und Unitedrake gehörten zur Regin-Architektur, sagt Prins. Beide werden im ANT-Katalog als eine Art Universalspähwerkzeuge geführt. Sie können den ANT-Katalog selbst durchblättern - indem Sie unten auf die interaktive Grafik klicken. "Maßgeschneiderte Funktionen nachgeladen"
Diverse andere Spionageprogramme können als Plugin mit Unitedrake oder Straitbizarre verknüpft werden. Beide öffnen Hintertüren in fremde Rechner, beide erlauben es, Daten von diesem Rechner aus nach draußen zu schmuggeln, in beide lassen sich diverse andere Module einstöpseln, die dann innerhalb des befallenen Rechners oder Netzwerks bestimmte Aufgaben erfüllen. Diese Module können etwa Daten kopieren, Tastatureingaben protokollieren, die Kamera einschalten oder gleich die vollständige Kontrolle über den Rechner übernehmen.
Interaktive Grafik
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!SPIEGEL ONLINE
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
über eine dieser maßgeschneiderten Funktionen: Ein bestimmtes Regin-Plugin diente offenbar dem Zweck, im Netzwerk eines Mobilfunkbetreibers Informationen über Anrufe aufzuspüren, abzuspeichern und abzutransportieren. Prins zufolge konnten seine Fachleute noch eine weitere Funktion beobachten, die Kennern des ANT-Katalogs bekannt vorkommen dürfte: "Sie konnten Daten aus Netzwerken holen, die eigentlich offline waren." Das erreiche die Software, indem die heimlich abgezweigten Daten zunächst lokal speichere. Dann warte sie, bis etwa ein Administrator für Wartungsarbeiten seinen Laptop einstöpsele. Die gespeicherten Daten würden dann auf den Computer des ahnungslosen Technikers kopiert - und von dort aus im nächsten Schritt zum jeweiligen Geheimdienst versandt, sobald eine Internetverbindung verfügbar sei. Ein eigenes Geheimnetz zum Abtransport der geklauten Daten
Regin sei eine extrem hochentwickelte Spionagesoftware, die mit ebenso hochentwickelter Infrastruktur zusammenarbeitet, sagt Fox-IT-Chef Prins. Gesteuert und abgefragt werden die Schnüffelimplantate demnach über ein eigenes Netz im Netz, das an das
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zur Anonymisierung von Internetnutzern erinnere: Beide operieren auf der Basis von hintereinander geschachtelten Rechnern, über die Daten geleitet werden, sowie auf Verschlüsselung. Während aber Adressen im Tor-Netzwerk stets auf ".onion" enden, hätten die Schöpfer von Regin "ihren eigenen Adressraum". Dass die NSA
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ist schon seit vielen Monaten bekannt - offenbar konnten die Fox-IT-Analysten es nun in Aktion beobachten. Eingeschleust werden die Spionageprogramme mit einer Methode, die SPIEGEL ONLINE im Dezember 2013 im Detail beschrieben hat. Die NSA und GCQH nennen das System Quantumtheory, Quantum Insert oder schlicht Quantum. Dabei werden Zielpersonen manipulierte Versionen von Webseiten gezeigt, in die von einem NSA-Server aus Schadcode injiziert wird (siehe Video).
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
DER SPIEGEL
Im Fall Belgacom wurden etwa manipulierte Seiten des Business-Netzwerks LinkedIn benutzt, um Zugang zu den Rechnern von Belgacom-IT-Personal zu erlangen. Belgacom passt ins Regin-Lagebild: Über ein Viertel aller Regin-Infektionen, die die Fachleute von Symantec entdeckt haben, betrafen Telekommunikationsunternehmen.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass NSA und GCHQ sich insbesondere für diverse Unternehmen aus der Telekom-Branche interessieren, bieten die doch die Zugänge, die man für noch weitergehende Überwachung und Spionage braucht. Fotostrecke
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Aus deutscher Sicht sind die Erkenntnisse über Regin besonders interessant: Erst im September berichtete der SPIEGEL, dass NSA und GCHQ in streng geheimen internen Unterlagen behaupten, über eigene Zugangspunkte in die Netzwerken
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
in Hürth zu verfügen. Die entsprechenden Dokumente kommen aus einer GCHQ-Abteilung für Netzwerkanalyse im britischen Bude, die auch für den Belgacom-Angriff verantwortlich zeichnete, und die offenbar Zugriff auf das gesamte Quantum-Arsenal der NSA hat. Auch das Vorgehen im Falle von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
gleicht auffallend dem bei den Angriffen auf Belgacom. Im Fall der deutschen Firma wurden ebenfalls zunächst zentrale Mitarbeiter ausfindig gemacht, deren Rechner dann geknackt wurden. Der Telekom ist der Virus schon länger bekannt Nach der SPIEGEL-Berichterstattung hatte die Staatsanwaltschaft Köln im Fall der Hürther Firma
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, gegen unbekannt.Kam Regin also auch in deutschen Rechnern und Netzwerkinfrastrukturen zum Einsatz?
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
erklärte auf Anfrage, sein Unternehmen habe im Licht der neuen Erkenntnisse zu Regin umgehend eine neue Prüfung der eigenen Systeme eingeleitet. Bei der Deutschen Telekom heißt es, der Virus sei Experten bereits seit einiger Zeit bekannt. "Unsere Abwehrmechanismen sind entsprechend darauf eingestellt", so eine Sprecherin des Bonner Konzerns. "Zudem hat eine vorsorgliche Untersuchung unserer Sicherheitsexperten bislang keinen Hinweis ergeben, dass das Netz der Deutschen Telekom betroffen sein könnte. Unsere Erkenntnisse decken sich mit einem Symantec-Bericht, wonach der Virus bislang in Europa lediglich in Österreich, Belgien und Irland aufgetreten ist."
Kaspersky
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
allerdings von weiteren Ländern, in denen man Regin aufgespürt habe - darunter auch Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte auf Anfrage: "Das BSI hat derzeit keine Hinweise auf eine Betroffenheit der deutschen Regierungsnetze mit der Schadsoftware Regin." Aussagen zu möglichen Urhebern könne man nicht treffen. Es handele sich jedoch um ein "hochwertiges, sehr komplexes Schadprogramm", vermutlich gemacht für "professionelle, gezielte, schwer zu detektierende Cyber-Angriffe ... bei denen über einen längeren Zeitraum sensible Informationen ausgespäht werden sollen". Im Fokus stünden offenbar "vor allem Regierungseinrichtungen und Telekommunikationsprovider". In Österreich, genauer gesagt in Wien, hat unter anderem die Organisation erdölexportierender Länder (Opec) ihren Sitz. Wie der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, war auch die Opec ein Spionageziel von NSA und GCHQ. Um die Rechner von Opec-Mitarbeitern anzuzapfen, kam Snowden-Dokumenten zufolge eine ganz bestimmte Technik zum Einsatz. Sie heißt Quantum Insert.Die Opec hat bis zum Erscheinen dieses Artikels nicht auf eine Anfrage zum Thema Regin geantwortet.
Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Es sollen Menschen geben die dies absolut Spitze finden, ich nicht.
Gruß
claus13
