Spionagesoftware "Regin" nahm Atomenergiebehörde
ins Visier
Fabian Schmid, Markus Sulzbacher
28. November 2014, 12:24
Spuren der mutmaßlich von der NSA entwickelten Malware
wurden im Netzwerk der IAEA gefunden – Verfassungsschutz ermittelt
Während sich US-Außenminister John Kerry am Montag in
Wien den Kopf über das iranische Atomprogramm zerbrach, enthüllten die großen
IT-Sicherheitsfirmen Kaspersky und Symantec eine hochkomplexe Spionagesoftware
namens "Regin", die in den vergangenen Jahren zahlreiche Ziele weltweit
angegriffen haben soll. Zwei Vorgänge, die einiges miteinander zu tun haben:
Denn "Regin" soll von westlichen Geheimdiensten wie der NSA und dem britischen
GCHQ entwickelt worden sein – und auch im Netzwerk der Internationalen
Atomenergiebehörde (IAEA) in Wien, die maßgeblich in die Iran-Gespräche
involviert war, gefunden worden sein. Das bestätigen mehrere voneinander
unabhängige Quellen dem STANDARD.
Zweite Cyberwaffe gegen iranisches Atomprogramm
"Regin" ist dabei die zweite Cyberwaffe, die weltweit
für Schlagzeilen sorgt. Zuvor hatte lediglich der Computerwurm "Stuxnet" eine
ähnliche Prominenz erlangt. Stuxnet war ab 2009 in iranischen Atomanlagen
eingesetzt worden, um Zentrifugen lahmzulegen. So wurde das Nuklearprogramm des
Iran um Monate, wenn nicht Jahre zurückgeworfen. "Regin" hatte in Wien wohl
ebenfalls das iranische Atomprogramm im Visier. Das Spionageprogramm ist unter
anderem in der Lage, E-Mails abzufangen und Dateien zu kopieren.
Einschätzungen gesucht
Bemerkung : Eine umfaasende Beschreibung von "regin" durch Kasperky Lab. |
Dabei sind vermutlich weniger geheime Dokumente über
die iranischen Anlagen und Fortschritte im Fokus gestanden. Vielmehr ging es um
die interne Korrespondenz von IAEA-Mitarbeitern. Die Organisation berichtet etwa
dem UN-Sicherheitsrat von ihren Erkenntnissen. Gerade in den Verhandlungen
zwischen den UN-Vetomächten plus Deutschland (5+1-Gruppe) und dem Iran bedeutet
ein Wissen um die Meinung der IAEA einen wichtigen strategischen Vorteil. Der
"Atomstreit" dauert schon länger als ein Jahrzehnt, erst diese Woche wurde nach
gescheiterten Verhandlungen in Wien eine Fristverlängerung bekanntgegeben.
IAEA: "Cyberattacken konstante Bedrohung"
Offiziell möchte die IAEA zur Spionagesoftware "Regin"
keinen Kommentar abgeben. "Cyberattacken sind eine ständige Bedrohung", hieß es
aus der Behörde gegenüber dem STANDARD, "die IAEA wendet höchste Anstrengungen
auf, um ihre IT-Systeme und in ihrem Netzwerk abrufbare Daten zu schützen."
IT-Experten, die Einblick in Aufbau und Verbreitung von "Regin" nehmen konnten,
bestätigen allerdings, dass "Regin" auf IAEA-Computern entdeckt worden ist.
Snowden-Dokumente zeigen IAEA als Ziel
Dass die Atomenergiebehörde für die USA zu den
wichtigsten Spionagezielen weltweit gehört, ist schon seit längerem klar:
Bereits 2004 wurde öffentlich, dass US-Dienste den damaligen
IAEA-Generalsekretär Mohamed ElBaradei abgehört hatten. Im August 2013
veröffentlichte die Snowden-Vertraute Laura Poitras im deutschen "Spiegel"
Informationen über NSA-Abhörmaßnahmen gegen internationale Organisationen, auch
hier wurden die IAEA sowie die UNO-Niederlassung in Wien explizit genannt.
Nur wenige Informationen
Dabei ist noch unklar, wie "Regin" ins Netzwerk der
IAEA gelangte und wie lange der Trojaner dort vor seiner Entdeckung spionieren
konnte. Die US-Website "The Intercept", die von Poitras und
Enthüllungsjournalist Glenn Greenwald geleitet wird, berichtete am Dienstag
ausführlich über den Einsatz von "Regin" gegen EU-Parlament, EU-Kommission und
Europarat.
Auch EU-Parlament durch "Regin" attackiert
Der britische GCHQ soll dabei Netzwerke des belgischen
Providers Belgacom infiltriert haben, der die drei europäischen Institutionen
als Telekomprovider versorgt. Belgacom-Mitarbeiter wurden ab dem Jahr 2010 mit
gefälschten Profilen auf dem Karriereportal "Linkedin" dazu gebracht, Dateien zu
öffnen. Tatsächlich verbarg sich dahinter Schadsoftware. Erst im Juni 2013 wurde
der Eindringling von Belgacom enttarnt.
"Regin": Extrem fähig, extrem komplex
Der Trojaner kann laut der IT-Sicherheitsfirma
Symantec auf vielfältige Art und Weise überwachen: "Regin" kann E-Mails
automatisch analysieren, Kennwörter stehlen, die Kontrolle über den Rechner
übernehmen und sogar gelöschte Dateien wiederherstellen. Eine andere Spielart
des Schädlings kann laut Kaspersky Mobilfunknetze ausspionieren. Der Trojaner
ist so komplex, dass namhafte IT-Firmen einen Nationalstaat als Urheber in
Betracht ziehen. Denn die Entwicklung eines derartigen Programms kostet auch
enorme Ressourcen.
US govt says Regin hasn't been ID'd "targeting any
organizations within the US." Quelle surprise! https://t.co/IeSAcwkJ4y #NSA
#GCHQ
— Ryan Gallagher (@rj_gallagher) 26. November 2014
Zusätzlich attackierte "Regin" keine Ziele in den USA
und Großbritannien, hauptsächlich war das Schadprogramm in Saudi-Arabien und
Russland aktiv.
Verfassungsschutz ermittelt
Österreichische Behörden bestätigen, Ermittlungen
wegen "Regin" aufgenommen zu haben. Zur Ausspähung der Atomenergiebehörde wollte
das Innenministerium keinen Kommentar abgeben. Bereits seit dem Beginn der
Snowden-Enthüllungen gibt es Hinweise darauf, dass internationale Organisationen
mit Sitz in Wien von der NSA abgehört wurden. So könnte die UNO etwa über eine
Spezialeinrichtung am nahe dem UNO-Gebäude gelegenen IZD-Tower abgehört worden
sein. Auch OPEC und OSZE sollen von der NSA ins Visier genommen worden sein.
UNO und OSZE: Keine Hinweise auf "Regin"
Im Gegensatz zur IAEA, die konkret zu "Regin" keinen
Kommentar abgeben wollte, bestreiten UNO und OSZE gegenüber dem STANDARD
offiziell, Spuren des Trojaners in ihren Netzwerken gefunden zu haben. Die OPEC
gab kein Statement ab, der "Spiegel" vermutet, dass auch sie von "Regin"
infiltriert wurde. Laut Experten, die sich mit "Regin" beschäftigt haben, wurde
die OPEC aber durch andere Methoden attackiert. (Fabian Schmid, Markus
Sulzabcher, derStandard.at, 28.11.2014)
Links
IAEA
Spiegel: Codename "Apalachee": How America Spies on Europe and the UN
Spiegel: Abhör-Affäre: US-Regierung wollte al-Baradei mittels Lauschangriff aus
dem Amt drängen
Spiegel: Spionage-Software: Super-Trojaner Regin ist eine NSA-Geheimwaffe
TheIntercept: Secret Malware in European Union Attack Linked to U.S. and British
Intelligence
Nachlese
Das Jahrzehnt des Atomstreits sollte in Wien enden (Analyse von Gudrun Harrer,
25.11.2014)
Regin: "Westliche Geheimdienste stecken hinter Spionage-Software"
Spionage-Software "Regin" spioniert Handynetze aus
NSA spioniert angeblich vom Dach des Wiener IZD Tower aus
http://derstandard.at/2000008742912/Spionagesoftware-Regin-nahmAtomenergiebehoerde-in-Wien-ins-Visier