Der IT-Security-Spezialist Symantec hat eine Spionage-Software entdeckt, die jahrelang Firmen und Behörden ausgespäht hat. Angriffe auf Schweizer Unternehmen und Regierungsstellen sind derzeit nicht bekannt.
Haupteinsatzgebiet des Spionage-Tools, zu dem Symantec am Wochenende in einem Report Details verffentlicht und auf den Namen «Regin» getauft hat, sind offensichtlich Russland und Saudi Arabien gewesen. Da Regin ziemlich ausgefeilt und komplex aufgebaut ist, vermutet Symantec staatliche Stellen als Urheber des Tools. Betrachtet man sich die Liste der betroffenen Länder, liegt der Schluss nahe, dass es sich um «westliche» Stellen handeln dürfte, die hinter Regin stecken. Allerdings habe man bisher keine direkten Hinweise auf die Urheber gefunden. Für Symantec-Sicherheitsexperte Candid Wüest kommen wegen des Niveaus der Entwicklung und wegen der Ziele Geheimdienste der USA, Israels oder Chinas in Frage. Das Programm infiziert die Ziel-Computer in mehreren Stufen. Zudem ist Regin darauf angelegt, lange unentdeckt zu bleiben, was ihm offensichtlich gelungen ist. Symantec geht davon aus, dass die Malware jahrelang spioniert habe. Konkret war Regin zwischen 2008 bis 2011 aktiv. 2013 sei eine neue Version aufgestaucht. «Selbst wenn man es entdeckt, ist es sehr schwer, festzustellen, was es macht», erläuterte Symantec. Mittlerweile könne man Regin entdecken, berichtet Symantec.
Allerdings ist das Tool nicht vollständig erforscht. Symantec glaubt daher, dass es noch weitere Funktionen und Varianten gibt, welche noch nicht entdeckt wurden. «Bei den Varianten reden wir hauptsächlich von den Modulen», präzisert Wüest auf Computerworld-Anfrage. «Wir haben Indikationen, dass es mehr als 50 verschiedene Module gibt, und wir wahrscheinlich noch nicht alle gesehen haben», räumt er ein. Jedes Modul erfülle eine gezielte Aufgabe wie etwa das Auslesen von Passwörtern oder das Analysieren von E-Mails, so Wüest weiter.
Angriff auf Schweizer Firmen möglich
In 28 Prozent der Fälle wurden russische Computer angegriffen. 24 Prozent der Vorfälle betrafen Saudi Arabien. Danach nennt der Report Länder wie Irland, Mexiko und Indien. «In der Schweiz haben wir keine Infektionen gesehen», meint Wüest gegenüber Computerworld. Entwarnung gibt der Experte dennoch nicht: Es sei durchaus möglich, dass es auch hierzulande Opfer gegeben habe, Symantec aber nicht davon erfahren habe, weil die Angegriffenen entweder nicht die Produkte der Firma einsetzten oder sonst keine Informationen geteilt worden seien. «Somit wäre es durchaus denkbar, dass Organisationen bei uns betroffen sind», folgert Wüest.
