Die Geheimdienste Großbritanniens und der USA waren laut einem Medienbericht an der Entwicklung der Spionagesoftware Regin beteiligt und haben diese in Europa eingesetzt. Das berichtet das Onlinemagazin The Intercept. In dem von dem Enthüllungsjournalisten Glenn Greenwald mitbegründeten Magazin werden auch Unterlagen des Informanten Snowden ausgewertet, der die Internetüberwachung durch NSA und GCHQ aufgedeckt hatte. 

Die Software sei demnach bei Angriffen der beiden Geheimdienste auf EU-Einrichtungen und den belgischen Telekommunikationskonzern Belgacom festgestellt worden, schreibt das Magazin unter Berufung auf IT-Sicherheitskreise und eigene Analysen. Über eine gefälschte Website des Business-Netzwerks LinkedIn hatte der britischen Geheimdienst GCHQ Zugriff auf die Rechner von Belgacom-Mitarbeitern erhalten. Das Ziel war offenbar das Abhören von Mobiltelefonen.

Ronald Prins von dem Unternehmen Fox IT, das die Malware aus dem Netzwerk von Belgacom anschließend entfernte, sagte The Intercept, Regin sei die anspruchsvollste Malware, die er jemals untersucht habe. Im Zusammenhang mit den kürzlich veröffentlichten Snowden-Dokumenten sei er überzeugt, dass Regin von britischen und US-Geheimdiensten verwendet wurde.

Wie der Spiegel berichtet, hätten Prins und Fox IT zudem den Codenamen enttarnt, den die NSA für Regin verwendet. In einem mittlerweile veröffentlichten Produktkatalog der NSA ist von Straitbizarre und Unitedrake die Rede. Hinter diesen beiden Spähwerkzeugen stecke ein Teil der Regin-Architektur, sagt Prins.

Über den neu entdeckten Virus hatte am gestrigen Montag die IT-Sicherheitsfirma Symantec berichtet. Regin wird demnach seit 2008 eingesetzt, um Informationen von Regierungen, Unternehmen, Forschungsinstituten und Einzelpersonen zu stehlen. Die Software sei so aufwändig programmiert, dass vermutlich ein Staat dahinter stecke, hieß es. Das mehrstufige Schadprogramm hinterlasse kaum Spuren und sei sehr schwer zu entdecken.

Laut Symantec kann Regin auf infizierten Rechnern Screenshots machen, den Mauszeiger steuern, Passwörter stehlen, den Datenverkehr im Netzwerk überwachen und gelöschte Dateien wiederherstellen. Etwa die Hälfte aller Computer, auf denen die Sicherheitsexperten die Schadsoftware entdeckten, gehörten demnach Internetanbietern. Diese seien aber mutmaßlich nicht selbst Ziel der Angriffe – vielmehr hätten die Kunden im Visier gestanden. 

Regin kann jahrelang unentdeckt bleiben

Auch Telefonanbieter seien oft infiziert worden. Wie das Sicherheitsunternehmen Kaspersky schreibt, sei es mit einem Plugin für Regin möglich, gezielt Anrufe abzufangen und abzuhören. Überhaupt deutet vieles darauf hin, dass es sich bei Regin nicht nur um einen klassischen Trojaner handelt, sondern um eine komplexe Software, die mit verschiedenen Plugins ganz unterschiedliche Spähaufgaben erledigen kann. Die Komplexität von Regin gilt als Hinweis darauf, dass es mit staatlicher Unterstützung entwickelt wurde.

Die meisten infizierten Rechner entdeckte Symantec in Russland und Saudi-Arabien gefolgt von Mexiko, Irland, Indien, Afghanistan, dem Iran, Belgien, Österreich und Pakistan. Weil das Programm so gut getarnt sei, könne es über Jahre arbeiten, ohne aufzufallen, erklärten die Experten. Selbst wenn Regin entdeckt werde, sei es sehr schwierig festzustellen, was genau die Software tue oder getan habe. Das Programm wurde demnach 2011 deaktiviert, doch tauchte 2013 eine neue Version auf, die noch heute aktiv ist.