Regin, eine alte aber raffinierte Toolkit-Plattform für Cyberspionage

26.11.2014
G DATA Blog

Regin ist eines der neuesten Toolkits für Cyperspionage, das Organisationen, Unternehmen und Einzelpersonen in aller Welt gezielt angreift. Diese Malware ist sehr raffiniert und kann in einem Atemzug mit anderen Cyberspionage-Kampagnen wie Duqu, Stuxnet, Flame oder Uroburos (auch bekannt als Snake/Turla) genannt werden. Regin, über das erstmalig Symantec [1] berichtet hatte, blieb jahrelang unter dem Radar.

Da sich Experten von G DATA schon seit geraumer Zeit mit diesem Rootkit beschäftigten, konnten auch wir einige Daten zusammenstellen. Die erste von uns entdeckte Regin-Version wurde im März 2009 eingesetzt und im Juli 2008 kompiliert:

paul@gdata:~/regin$ ./pescanner.py b12c7d57507286bbbe36d7acf9b34c22c96606ffd904e3c23008399a4a50c047
Meta-data
================================================================================
File:    b12c7d57507286bbbe36d7acf9b34c22c96606ffd904e3c23008399a4a50c047
Size:    12608 bytes
Type:    PE32 executable (native) Intel 80386, for MS Windows
MD5:     ffb0b9b5b610191051a7bdf0806e1e47
SHA1:    75a9af1e34dc0bb2f7fcde9d56b2503072ac35dd
ssdeep: 
Date:    0x486CBA19 [Thu Jul  3 11:38:01 2008 UTC]
EP:      0x103d4 .text 0/4

Einige Quellen gehen sogar bis ins Jahr 2003 zurück; derzeit lässt sich dies jedoch nicht belegen. Wir können jedoch bestätigen, dass diese Kampagne bereits Anfang des Jahres 2009 auftrat.

Ein Open-Source-Erkennungstool von G DATA

Wir haben festgestellt, dass ein verschlüsseltes virtuelles Dateisystem genutzt wird. In der oben genannten Version handelt es sich bei dem Dateisystem um eine gefälschte EVT-Datei im Ordner %System%\config. Der Header des virtuellen Dateisystems ist immer derselbe:

typedef struct _HEADER {
  uint16_t SectorSize;
  uint16_t MaxSectorCount;
  uint16_t MaxFileCount;
  uint8_t FileTagLength;
  uint16_t crc32custom;
} 

Bei unserer Analyse wurde eine CRC32-Prüfsumme ermittelt. Ob eine Infektion vorliegt, kann grundsätzlich dadurch festgestellt werden, dass das infizierte System auf das Vorhandensein eines virtuellen Dateisystems untersucht wird, wobei die benutzerdefinierte CRC32-Prüfsumme am Anfang des Dateisystems überprüft werden muss. Zum Herunterladen des Python-Skripts klicken Sie auf HIER.

regin-detect.py SHA256: 98ac51088b7d8e3c3bb8fbca112290279a4d226b3609a583a735ecdbcd0d7045
regin-detect.py MD5: 743c7e4c6577df3d7e4391f1f5af4d65

Hier das Scan-Ergebnis eines virtuellen Dateisystems:

paul@gdata:~regin$ ./tool.py security.evt
SectorSize:  1000
MaxSectorCount:  0500
MaxFileCount:  0500
FileTagLength:  10
CRC32custom:  df979328
CRC of the file: df979328
Regin detected

Die Opfer

Bislang konnten in den folgenden 14 Ländern mit Regin infizierte Computernetze festgestellt werden:

  • Algerien
  • Afghanistan
  • Belgien
  • Brasilien
  • Fidschi
  • Deutschland
  • Iran
  • Indien
  • Indonesien
  • Kiribati
  • Malaysia
  • Pakistan
  • Russland
  • Syrien

Eine der in der Öffentlichkeit vielleicht bekanntesten Personen, die Regin zum Opfer gefallen sind, ist Jean Jacques Quisquater, ein renommierter Kryptograph aus Belgien. Diese Informationen können Sie dem Bericht von Kaspersky Lab entnehmen, den Sie im Internet unter
securelist.com/blog/research/67741/regin-nation-state-ownage-of-gsm-networks/ finden.

Vielleicht noch interessanter ist die Tatsache, dass es sich bei Regin um die Spyware hinter dem Hackerangriff auf den großen belgischen Telekommunikationskonzern Belgacom im Jahr 2013 handeln könnte. Belgacom bestätigte diesen Angriff, gab aber nie Details darüber preis. Ronald Prins von Fox-IT, der Unterstützung bei den Ermittlungsarbeiten zum Belgacom-Spähangriff leistete, bestätigte auf seiner Twitter-Seite, dass hinter dem Belgacom-Angriff möglicherweise Regin als Malware steckt.

„The Intercept“, eine Nachrichten-Website von First Look Media, bringt Regin nicht nur mit Belgacom in Verbindung, sondern nennt in einem Artikel vom 24. November auch die Europäische Union als potenzielles Opfer.

Fazit

Regin lässt sich am treffendsten als umfassende Toolkit-Plattform für Cyberspionage beschreiben, deren Ziel es war, die vollständige Fernkontrolle und -überwachung auf allen möglichen Ebenen zu erzielen. Eine eindeutige Zuschreibung ist jedoch in einem Fall wie diesem schwierig. Aufgrund der Komplexität dieser Entwicklung hegen wir den Verdacht, dass diese Operation von einem Staat unterstützt wird. Die uns zur Verfügung stehenden Informationen lassen uns zu dem Schluss kommen, dass diese Späh-Software weder aus Russland noch aus China stammt.
Wenn Sie weitere Informationen wünschen, können Sie sich gerne unter intelligence@gdata.de an uns wenden.

Beispiel für Regin MD5

4b6b86c7fec1c574706cecedf44abded
b505d65721bb2453d5039a389113b566
ba7bb65634ce1e30c1e5415be3d1db1d
a3915d7e41eb51ba07a2ae5e533e0673
2c8b9d2885543d7ade3cae98225e263b
49a6d5256ff9d061c964aa62788d0519
bfbe8c3ee78750c3a520480700e440f8
d240f06e98c8d3e647cbf4d442d79475
b29ca4f22ae7b7b25f79c1d4a421139d
b269894f434657db2b15949641a67532
187044596bc1328efa0ed636d8aa4a5c
ffb0b9b5b610191051a7bdf0806e1e47
1c024e599ac055312a4ab75b3950040a
49d4a603b117355a054b844487de55d9
6662c390b2bbbd291ec7987388fc75d7
06665b96e293b23acc80451abb413e50

G DATA entdeckt bekannte Regin-Samples.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein