Forscher bringen Regin mit einem von Snowden beschriebenen Schadprogramm in Verbindung

Die Experten von Kaspersky Lab haben Gemeinsamkeiten im Code und in der Funktionalität der schädlichen Plattform Regin und einer ähnlichen Plattform gefunden, die in den vor kurzem vom Nachrichtenmagazin „Der Spiegel” veröffentlichten Dokumenten von Eduard Snowden beschrieben wird.

Der Link, der in einem Keylogger mit der Bezeichnung QWERTY gefunden und vermutlich von dem Spionagebündnis ‚Five Eyes’ benutzt wurde, ließ die Sicherheitsspezialisten darauf schließen, dass die Entwickler beider Plattformen entweder identisch sind oder aber eng zusammenarbeiten.

„Unter Berücksichtigung der ungewöhnliches Komplexität der Plattform Regin und der geringen Chancen, eine solche Plattform ohne Zugriff auf den Quellcode nachzubauen, kamen wir zu dem Schluss, dass die Entwickler des Schädlings QWERTY und Regin identisch sind, oder aber zusammenarbeiten“, schreiben die Forscher Costin Raiu und Igor Soumenkov von Kaspersky Lab in einem auf Securelist veröffentlichten Blogeintrag.

Der Spiegelbericht beschreibt, dass die amerikanische NSA, das britische Government Communications Headquarters (GCHQ) und die übrigen Five Eyes angeblich offensive Internet-basierte Möglichkeiten entwickeln, um Angriffe auf Computernetze durchzuführen, die die kritische Infrastruktur des Gegners steuern.

Die neuen Snowden-Dokumente, enthüllt von Laura Poitras und einer Gruppe weiterer acht IT-Sicherheitsfachleute und Datenschutzexperten, enthalten außerdem einen Überblick über eine schädliche Plattform mit der Bezeichnung WARRIORPRIDE. In WARRIORPRIDE ist wiederum QWERTY enthalten, ein Modul, das Tastatureingaben auf kompromittierten Windows-Rechnern verfolgt. Der Spiegel schreibt, dass der Schädling aller Wahrscheinlichkeit nach schon mehrere Jahre alt ist und vermutlich schon ausgetauscht wurde.

In dem Artikel wird die Struktur von QWERTY als „einfach“ beschrieben und es heißt, dass der Schädling einen Kerneltreiber mit der Bezeichnung QWERTYKM enthält, der mit dem Tastaturmanager von Windows interagiert, sowie eine Bibliothek QWERTYLP, die die Tastaturbetätigungen zur Analyse aufzeichnet und speichert. Nach einer eigenen Untersuchung der Binärdateien erklärte der Spiegel, dass es höchstwahrscheinlich eine Verbindung zwischen WARRIORPRIDE und dem Australian Signals Directorate, einer australischen Nachrichtenagentur, gebe.

Die Experten von Kaspersky Lab, Raiu und Sumenkov, erklärten, dass der Schädling QWERTY hinsichtlich seiner Funktionalität mit einem der Regin-Plugins identisch ist.

Raiu und Sumenkov berichten, dass sie das QWERTY-Modul auseinandergenommen und drei Binär- und Konfigurationsdateien gefunden haben. Eine Binärdatei mit dem Namen 20123.sys ist eine Komponente des Kernelmodus‘ des Keyloggers QWERTY, der aus dem Quellcode kompiliert wurde, der in einem Regin-Modul, dem Plugin 50251, gefunden wurde.

In dem Bericht zeigt ein Vergleich der entsprechenden Abschnitte des Quellcodes, dass sie überaus ähnlich sind und große identische Fragmente enthalten. Die Spezialisten berichten, dass insbesondere ein Code-Stück auf Plugins der Regin-Plattform verweist und dabei sowohl in Regin als auch in QWERTY verwendet wird. Es spricht ein Regin-Plugin an, das als 50225 bezeichnet wird und für das Kernelmodus-Hooking verantwortlich ist.

„Das ist ein klarer Beweis dafür, dass das QWERTY-Plugin nur als Teil der Regin-Plattform funktioniert, indem es sich die Funktion des Kernel-Hookings aus dem Plugin 50225 zunutze macht“, schreiben Raiu und Sumenkov. „Um einen zusätzlichen Beweis zu erbringen, dass beide Module eine ähnliche Softwareplattform verwenden, haben wir uns die Funktionen angeschaut, die aus beiden Modulen exportiert werden. Sie enthielten den Startcode, der in jedem beliebigen Regin-Plugin zu finden ist, und beinhalten die aktuelle Nummer des Plugins, die in der Plattform registriert ist, um im Folgenden dieses Plugin anzusprechen. Das ergibt nur dann einen Sinn, wenn die Module im Orchester der Regin-Plattform mitspielen.“

Die schädliche Regin-Plattform wurde von Kaspersky Lab analysiert und erhielt umgehend den Titel der fortschrittlichsten Spionageplattform überhaupt, die hinsichtlich ihrer Komplexität sogar Stuxnet und Flame übertrifft. Die Plattform wurde zum Geheimnisdiebstahl von Regierungsagenturen, Forschungsinstituten und Banken benutzt und kann möglicherweise auch für Attacken auf GSM-Netzbetreiber verwendet werden.

In der vergangenen Woche veröffentlichte Kaspersky Lab einen weiteren Bericht über Regin, in dem zwei autonome Module beschrieben werden, die zur Querverbreitung und zur Installation einer Backdoor benutzt werden, die Daten von den befallenen Rechnern absaugt. Diese Module mit den Namen Hopscotch und Legspin wurden ebenfalls höchstwahrscheinlich vor über zehn Jahren entwickelt.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.