{"id":4518,"date":"2014-11-25T16:54:52","date_gmt":"2014-11-25T16:54:52","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4518"},"modified":"2020-02-26T18:37:40","modified_gmt":"2020-02-26T16:37:40","slug":"die-regin-attacke-gehort-zu-den-bisher-anspruchsvollsten-angriffen","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/die-regin-attacke-gehort-zu-den-bisher-anspruchsvollsten-angriffen\/4518\/","title":{"rendered":"Die Regin-Attacke geh\u00f6rt zu den bisher anspruchsvollsten Angriffen"},"content":{"rendered":"<p>Fast jede Organisation, die daran arbeitet, Advanced-Persistent-Threat-Kampagnen (APT) nachzuverfolgen und aufzudecken, besch\u00e4ftigt sich momentan mit einer neuen und h\u00f6chst anspruchsvollen Angriffsplattform namens \u201eRegin\u201c (ausgesprochen wie der fr\u00fchere US-Pr\u00e4sident Reagan). Allgemein wird angenommen, dass Regin das Werk eines finanzkr\u00e4ftigen Staats ist, wobei es aber unm\u00f6glich ist, ein bestimmtes Land als Urheber festzustellen.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/11\/06133601\/APT-Regin-1024x767.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-5307\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/11\/06133601\/APT-Regin-1024x767.png\" alt=\"APT Regin\" width=\"1024\" height=\"767\"><\/a><\/p>\n<p>Es scheint, als h\u00e4tten eine ganze Reihe Einzelpersonen und Organisationen Dossiers \u00fcber Regin angelegt, denn gleich nachdem Symantec am letzten Wochenende einen ersten Bericht dar\u00fcber ver\u00f6ffentlichte, tauchten weitere Artikel dazu auf, die weitere Informationen zu den ersten Erkenntnissen hinzuf\u00fcgten. Nicht nur eine Firma und nicht nur ein Forscher \u2013 auch das <a href=\"https:\/\/threatpost.com\/costin-raiu-on-the-regin-apt-malware\/109548\" target=\"_blank\" rel=\"noopener nofollow\">Global Research and Analysis Team (GReAT) von Kaspersky Lab<\/a> \u2013 hat Regin als die bisher anspruchsvollste Angriffskampagne bezeichnet.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Highly-complex malware has secretly spied on computers for years, say researchers <a href=\"http:\/\/t.co\/ip7hkaDBEg\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/ip7hkaDBEg<\/a> <a href=\"http:\/\/t.co\/TnHhxZS0C4\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/TnHhxZS0C4<\/a><\/p>\n<p>\u2014 The Verge (@verge) <a href=\"https:\/\/twitter.com\/verge\/status\/536627903623360512?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 23, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut den <a href=\"https:\/\/securelist.com\/blog\/research\/67741\/regin-nation-state-ownage-of-gsm-networks\/\" target=\"_blank\" rel=\"noopener\">Erkenntnissen von Kaspersky Lab<\/a>, zielt Regin auf Telekom-Anbieter, Regierungseinrichtungen, multinationale politische Organisationen, Finanz- und Forschungsinstitutionen sowie Einzelpersonen ab, die mit Mathematik und Kryptographie zu tun haben. Die Angreifer scheinen vor allem daran interessiert zu sein, Informationen zu sammeln und andere Angriffe durchzuf\u00fchren. Zur Informationsbeschaffung geh\u00f6rt bei Regin auch das Ausspionieren von E-Mails und Dokumenten, doch die Gruppe greift auch unerbittlich Telekommunikationsfirmen (was ganz normal f\u00fcr solche Angriffe ist), aber auch mindestens einen GSM-Anbieter an (was weniger normal ist).<\/p>\n<p>Die Abk\u00fcrzung GSM steht f\u00fcr Global System for Mobile Communications, einen Standard zur drahtlosen Kommunikation zwischen Handys. GSM kann man sich als zweite Generation (2G) der mobilen Kommunikationstechnologien vorstellen, Vorl\u00e4ufer von 3G- und 4G-Netzwerken. Doch <a href=\"http:\/\/www.4gamericas.org\/index.cfm?fuseaction=page&amp;sectionid=242\" target=\"_blank\" rel=\"noopener nofollow\">laut verschiedener Berichte<\/a>, ist GSM der Standard mobiler Netzwerke beim Gro\u00dfteil der Telekom-Anbieter. GSM ist in \u00fcber 219 L\u00e4ndern und Regionen verf\u00fcgbar und h\u00e4lt 90 Prozent Anteil am mobilen Telekom-Markt.<\/p>\n<div class=\"pullquote\">Das bedeutet, dass sie Zugriff darauf gehabt haben k\u00f6nnten, welche Anrufe von einem bestimmten Handy get\u00e4tigt werden, und diese Anrufe auf andere Handys umleiten, sowie andere sch\u00e4dliche Aktivit\u00e4ten durchf\u00fchren konnten.<\/div>\n<p>\u201eDie F\u00e4higkeit dieser Gruppe, in GSM-Netzwerke einzudringen und diese zu \u00fcberwachen, ist wahrscheinlich der ungew\u00f6hnlichste und interessanteste Aspekt dieser Operation\u201c, so das Global Research and Analysis Team von Kaspersky Lab in einem Bericht. \u201eIn der heutigen Zeit sind wir viel zu abh\u00e4ngig von mobilen Handynetzwerken, die auf veralteten Kommunikationsprotokollen basieren und nur wenig oder gar keine Sicherheit f\u00fcr den Endanwender bieten. Auch wenn GSM-Netzwerke Mechanismen enthalten, \u00fcber die zum Beispiel Strafverfolgungsbeh\u00f6rden Verd\u00e4chtige verfolgen k\u00f6nnen, so k\u00f6nnen das nat\u00fcrlich auch andere machen, wenn sie den Zugriff auf diese Mechanismen bekommen. Zudem k\u00f6nnen sie auch weitere Angriffe auf mobile Nutzer starten.\u201c<\/p>\n<p>Die Angreifer schafften es, Zugangsdaten eines internen GSM-Basis-Controllers zu stehlen, der zu einem gro\u00dfen Telekom-Anbieter geh\u00f6rt. Dadurch bekamen die T\u00e4ter Zugang zu GSM-Handys im entsprechenden Netzwerk, so die Kaspersky-Experten weiter. Mein Threatpost-Kollege <a href=\"https:\/\/threatpost.com\/regin-cyberespionage-platform-also-spies-on-gsm-networks\/109539\" target=\"_blank\" rel=\"noopener nofollow\">Mike Mimoso bemerkte dazu<\/a>, dass Basis-Controller Anrufe verwalten, w\u00e4hrend sich diese durch das mobile Netzwerk bewegen, und dabei Ressourcen und mobile Daten\u00fcbertragungen verteilen.<\/p>\n<p>\u201eDas bedeutet, dass sie Zugriff darauf gehabt haben k\u00f6nnten, welche Anrufe von einem bestimmten Handy get\u00e4tigt werden, und diese Anrufe auf andere Handys oder Handys in der N\u00e4he umleiten, sowie andere sch\u00e4dliche Aktivit\u00e4ten durchf\u00fchren konnten\u201c, so der Kaspersky-Experte weiter. \u201eMomentan sind die Hinterm\u00e4nner hinter Regin die einzigen, von denen bekannt ist, zu solchen Aktionen f\u00e4hig zu sein.\u201c<\/p>\n<p>Die Regin-T\u00e4ter k\u00f6nnen also nicht nur passiv die Kommunikations-Metadaten von Handys abgreifen, sondern Handyanrufe auch aktiv von einer Nummer auf eine andere umleiten.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Regin zielt auf \u00fcbliche Opfer, aber auch einen ber\u00fchmten Kryptographen &amp; den GSM-Standard<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F4Gp2&amp;text=%23Regin+zielt+auf+%C3%BCbliche+Opfer%2C+aber+auch+einen+ber%C3%BChmten+Kryptographen+%26amp%3B+den+GSM-Standard\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Ein weiterer bizarrer und interessanter Aspekt der Regin-Attacke ist die Geschichte des ber\u00fchmten belgischen Kryptographen und Mathematikers Jean-Jacques Quisquater. Im Februar gab es erste Berichte dar\u00fcber, dass Quisquaters PC sechs Monate vorher gehackt worden ist. Nun ist es nicht ungew\u00f6hnlich, dass prominente Akademiker Hacker-Angriffen ausgesetzt sind, doch dieser Fall war anders, denn es gab \u00c4hnlichkeiten zwischen der Attacke auf den Computer des Mathematikers und einer Attacke auf den belgischen Telekom-Anbieter Belgacom.<\/p>\n<p>Der Angriff auf Belgacom wurde auch in den <a href=\"https:\/\/threatpost.com\/belgian-telco-belgacom-compromised\/102299\" target=\"_blank\" rel=\"noopener nofollow\">Enth\u00fcllungen von Edward Snowden<\/a> erw\u00e4hnt, in denen behauptet wurde, dass dieser Angriff von der NSA zusammen mit ihrem britischen Gegenst\u00fcck GCHQ druchgef\u00fchrt worden sei. Nat\u00fcrlich haben viele Medien angenommen, dass diese \u00c4hnlichkeit darauf hindeutet, dass die amerikanischen und britischen Geheimdienste hinter beiden Attacken stecken. Wir k\u00f6nnen diese Vermutung nicht unterschreiben, auch wenn viele Medien dar\u00fcber berichtet haben und es eine Erw\u00e4hnung wert ist.<\/p>\n<p>Zus\u00e4tzlich zur Quisquater-Geschichte und der Tatsache, dass sie GSM-Netze angreift, muss man auch sagen, dass die Regin-Angriffsplattform technisch wahnsinnig anspruchsvoll ist, vor allem im Bereich der Dauerhaftigkeit: Die T\u00e4ter haben mit ihrer Command-Infrastruktur Backdoors aufgebaut, um eine unauff\u00e4llige, best\u00e4ndige Pr\u00e4senz in den Neztwerken der Opfer zu erreichen. Die komplette Kommunikation der Kampagne war verschl\u00fcsselt, um sicherzustellen, dass die Angriffe nicht beobachtet werden k\u00f6nnen \u2013 sowohl von den Angreifern und ihren Control-Servern, als auch zwischen den Opfer-Computern und der Angreifer-Infrastruktur.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Absolutely #1 coverage of <a href=\"https:\/\/twitter.com\/hashtag\/Regin?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Regin<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> espionage campaign, must read to get the whole picture: <a href=\"http:\/\/t.co\/M1pEhnxCRa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/M1pEhnxCRa<\/a> by <a href=\"https:\/\/twitter.com\/KimZetter?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KimZetter<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/536995229501370368?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 24, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Gro\u00dfteil der Regin-Kommunikation passiert zwischen den infizierten Computern (die als Kommunikations-Drohnen bezeichnet werden) in den Netzwerken der Opfer. Daf\u00fcr gibt es zwei Gr\u00fcnde: Es erlaubt tiefen Zugriff und beschr\u00e4nkt die Datenmenge, die das Netzwerk auf dem Weg zu einem Command-and-Control-Server verl\u00e4sst. Denn wenn man bemerkt, dass Daten das Netzwerk verlassen und zu einem unbekannten Netzwerk \u00fcbertragen werden, ist das alarmierend. Die von den T\u00e4tern verwendete netzwerkinterne Peer-to-Peer-Kommunikation macht es dagegen schwerer, eine laufende Attacke zu entdecken.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2014\/11\/06133600\/Regin-graph-one-1024x640.png\" alt=\"\" width=\"1024\" height=\"640\"><\/p>\n<p>In einem Land des Nahen Ostens kommunizierte jedes von Kaspersky Lab identifizierte Opfer-Netzwerk mit allen anderen Netzwerken auf Basis einer Peer-to-Peer-Struktur. Zu dem Netzwerk geh\u00f6rten das B\u00fcro des Pr\u00e4sidenten, eine Forschungseinrichtung, ein Schulungsnetzwerk sowie eine Bank. Eines der Opfer enthielt eine \u00dcbersetzungsdrohne, die gestohlene Datenpakete au\u00dfer Landes schaffen konnte, und zwar zu den Command-and-Control-Servern in Indien.<\/p>\n<p>\u201eDas ist ein recht interessanter Command-and-Control-Mechanismus, der auf jeden Fall kaum Verdacht weckt\u201c, so ein Forscher dazu. \u201eWenn zum Beispiel alle Kommandos f\u00fcr das B\u00fcro des Pr\u00e4sidenten \u00fcber das Netzwerk der Bank gesendet werden, sehen die Administratoren des Pr\u00e4sidentenb\u00fcros nur sch\u00e4dlichen Datenverkehr, der von der Bank im gleichen Land kommt.\u201c<\/p>\n<p>Regin wird in f\u00fcnf Stufen ausgeliefert, so dass die Angreifer mit jeder Stufe, die einen weiteren Teil des Angriffs startet, tieferen Zugriff auf das Opfer-Netzwerk erhalten. Die Module der ersten Stufe enthalten nur ausf\u00fchrbare Daten, die auf dem Opfer-Computer gespeichert werden und alle mit gef\u00e4lschten digitalen Zertifikaten von Microsoft und Broadcom signiert sind, so dass sie legitim aussehen.<\/p>\n<p>Die Kaspersky-L\u00f6sungen entdecken die Module von Regis als Trojan.Win32.Regin.gen und Rootkit.Win32.Regin. Falls Sie genauere Informationen zu Regis haben m\u00f6chten, finden Sie diese in unserem <a href=\"https:\/\/securelist.com\/files\/2014\/11\/Kaspersky_Lab_whitepaper_Regin_platform_eng.pdf\" target=\"_blank\" rel=\"noopener\">ausf\u00fchrlichen technischen Bericht<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine neue APT-Kampagne mit dem Namen Regin zielt auf die \u00fcblichen Opfer ab, aber auch auf einen angesehenen Kryptographen sowie den GSM-Standard, \u00fcber den die meisten Handy-Kommunikationen laufen.<\/p>\n","protected":false},"author":42,"featured_media":4520,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[522,1246,1076,1247,1245,209],"class_list":{"0":"post-4518","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-apt","9":"tag-forschung","10":"tag-great","11":"tag-gsm","12":"tag-regin","13":"tag-schadprogramme"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/die-regin-attacke-gehort-zu-den-bisher-anspruchsvollsten-angriffen\/4518\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=4518"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4518\/revisions"}],"predecessor-version":[{"id":22906,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4518\/revisions\/22906"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/4520"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=4518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=4518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=4518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}