Alleine die Installation von Regin auf einem Computer ist schon kompliziert und verläuft über zahlreiche Stufen. Am Anfang steht ein unverschlüsselter Trojaner, der sich auf dem Ziel-Computer einnistet und dann stark verschlüsselte Software-Komponenten herunterlädt. Die Installation endet mit dem Starten einer Art Betriebssystem, das im Hintergrund arbeitet. Es nützt dabei gar ein eigenes verschlüsseltes Filesystem.
Komplex und schwer verständlich
Nach der Installation können die Spione, die hinter der Schad-Software stehen, die Regin-Software ihren Bedürfnissen anpassen und ferngesteuert Programme installieren, die sie für den jeweiligen Auftrag benötigen. Zu den Grundfunktionen gehört das Mitlesen der Tastatur, die Kontrolle der Maus oder das Kopieren der ganzen Kommunikation. Laut Symantec stehen den Spionen dazu mehrere Dutzend Applikationen zur Verfügung. Da auch diese Programme verschlüsselt sind, ist noch offen, wozu sie in der Lage sind.
Unklar ist auch, wie Regin auf die Computer gelangt. Mögliche Quellen sind manipulierte Webseiten. In einem Fall haben die Experten herausgefunden, dass Regin sich über eine noch unbekannte Sicherheitslücke im Yahoo-Messenger eingeschlichen hat.
Ziel: Infrastruktur
Bis jetzt haben die Spezialisten von Symantec die Regin-Spionage-Software auf 100 Computern gefunden. Brisant: Betroffen sind nicht nur einzelne Firmen oder Individuen, sondern auch Netzwerkanbieter oder Telefonnetz-Betreiber. Der Grund ist klar: Haben sich die Spione einmal Zugang zu wichtiger Infrastruktur verschafft, können sie gezielt Firmen und Individuen abhören, die über diese Kanäle kommunizieren.
Rund ein Viertel der infizierten Maschinen steht in Russland, ein weiteres Viertel in Saudi Arabien, in Europa sind Belgien und Österreich betroffen. Die geografische Verteilung so wie die Komplexität von Regin deuten darauf hin, dass hinter der Abhörhilfe ein westlicher Geheimdienst stecken könnte.
Update vom 26. November 2014
Laut Recherchen des Online-Magazins The Intercept haben die NSA und GCHQ die Regin-Malware dazu benutzt, um die Europäische Union auszuspionieren. Dass die beiden Nachrichtendienste in Brüssel seit 2010 aktiv sind, ging aus geheimen Dokumenten hervor, die Edward Snowden im vergangenen Jahr zugänglich gemacht hat. Wie sie dabei technisch vorgehen, war bis jetzt nicht bekannt.
Der halbstaatliche Telefonnetz- und Internetanbieter Belgacom hat Regin im Juni 2013 auf seinen Computern entdeckt und Anzeige erstattet. Spezialisten haben die Malware auch auf Computern der Europäischen Union gefunden.