Nyhed
Læsetid: 3 min.

NSA og GCHQ mistænkes for at stå bag avanceret spionsoftware

Et nyt avanceret spionagesoftware, som ser ud til at være blevet brugt ved hackerangreb på bl.a. EU-Kommissionen og et belgisk teleselskab, er blevet opdaget af sikkerhedseksperter. Ingen tør sige med sikkerhed, hvem der står bag, men flere spor peger på britiske GCHQ eller amerikanske NSA
Ekstremt svært at opdage og så avanceret, at der må stå en nationalstat bag. Sådan lyder den foreløbige konklusion fra sikkerhedsresearchere på det sofistikerede spionsoftware Regin, der er fundet i bl.a. regeringsnetværk, private firmaer og hos privatpersoner, der er involverede i matematisk eller kryptografisk forskning.

Simon Læssøe

Udland
25. november 2014

Ekstremt svært at opdage og så avanceret, at der må stå en nationalstat bag. Sådan lyder den foreløbige konklusion fra sikkerhedsresearchere på det sofistikerede spionageværktøj Regin, som flere firmaer i de seneste to dage har offentliggjort detaljer om. Ifølge sikkerhedsfirmaerne er Regin særligt velegnet til indsamling af efterretninger i stor skala, men kan også bruges til at facilitere yderligere hackerangreb. Malwaren (ondsindet software) er indtil videre fundet i både regeringsnetværk, private firmaer, finansielle institutioner, forskningsinstitutioner og hos privatpersoner, som er involverede i matematisk eller kryptografisk forskning. I 28 procent af angrebene har målet været teleselskabers såkaldte backbone, fordi adgang til deres netværk gør en angriber i stand til at overvåge mange flere mennesker. I et enkelt tilfælde er det blevet brugt til at tage kontrol over et mobilnetværk i et uidentificeret land i Mellemøsten i så høj grad, at det ville kunne lukke hele netværket ned.

De første spor efter Regin stammer tilbage fra 2008, og indtil videre har man fundet omkring 100 angreb med Rusland (28 procent) og Saudi-Arabien (25 procent) som de hårdest ramte, mens også Mexico, Irland, Indien, Afghanistan, Iran, Belgien, Østrig og Pakistan er blandt målene.

Offentliggørelsen af de tekniske rapporter, detaljer om angrebene samt prøver fra malwaren, kan nu føre til, at endnu flere ramte virksomheder eller stater bliver opmærksomme på, at de er inficerede.

Med avancerede hackerangreb som Regin er det altid svært at slå fast, hvem der står bag, og de fleste sikkerhedseksperter har indtil videre ikke turdet sige med sikkerhed, hvem de har som hovedmistænkte.

»Vi tror ikke, at Regin kommer fra the usual suspects. Vi tror ikke, at Regin er skabt af Rusland eller Kina,« siger Mikko Hypponen, der er administrerende direktør i anti-virusfirmaet F-Secure til Guardian. Heller ikke hverken Symantec eller Kaspersky, som har offentliggjort længere rapporter om angrebet, peger officielt på, hvem de mener står bag.

Ekspert: Jeg er overbevist

Flere spor peger dog på enten den britiske efterretningstjeneste GCHQ eller deres tætte amerikanske samarbejdspartnere i NSA, og længst går den hollandske sikkerhedsekspert Ronald Prins fra Fox-IT:

»Efter at have analyseret dette malware og kigget på de [tidligere publicerede] Snowden-dokumenter, er jeg overbevist om, at Regin bliver brugt af britiske og amerikanske efterretningstjenester,« siger han til The Intercept og koblede siden på Twitter direkte to kendte NSA-kodeord fra et tidligere offentliggjort katalog over tjenestens hackerværktøjer til Regin.

Ronald Prins var en af de eksperter, der efterforskede et hackerangreb på det belgiske teleselskab Belgacom – et angreb som ifølge lækkede Snowden-dokumenter fra GCHQ gik under kodenavnet »Operation Socialist«.

Angrebet var målrettet centrale tekniske medarbejdere hos Belgacom, som blev lokket til at klikke på en falsk Linkedin-profil, hvorefter malwaren gjorde GCHQ i stand til at stjæle data fra både selskabet selv og dets tilsluttede kunder.

Både The Intercept og det amerikanske teknologitidsskrift Wired kobler Regin til yderligere to angreb i Europa på henholdsvis EU-Kommissionen og Europarådet i 2011 samt et angreb på den belgiske professor i kryptografi Jean-Jacques Quisquate. Begge angreb er også tidligere blevet forbundet til NSA og GCHQ – men nu udpeges Regin altså som selve metoden.

Det står stadig ikke klart, hvordan Regin er kommet ind i de forskellige ramte systemer, bortset fra et enkelt tilfælde, hvor logfilerne viser, at det kom ind via Yahoo Instant Messenger ved hjælp af et ubekræftet exploit. Også hvad Regin gør angriberne i stand til at kontrollere, varierer efter, hvilken variant af malwaren, der er tale om.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Henrik Christensen

Ikke megen reaktion på det her, ikke voldsomt overraskende heller. Men alligevel, hvis USA og UK er vore bedste venner, så får fjendebilledet ligesom et imponerende perspektiv...

Kurt Nielsen, lars abildgaard, Rune Petersen, Ib Christensen, erik mørk thomsen og Michael Madsen anbefalede denne kommentar

Hunden der jagter sin egen hale?

Hvis nogen angriber, så er det vel fordi de er en fjende.

Men hvordan kommer det fra et klick med musen ind på backbone-netværket?
Der mangler vist nogle mellemregninger her.

/O

PET har lignende snedige statstrojanere, noget dyrt og effektivt skidt, som ingen virusprogrammer kan udpege eller fjerne. Men nu kan du endelig selv afsløre deres grimme overvågning-software med det nyudviklede værktøj Detekt - anbefalet af Amnesty International. Statens virusser bruges målrettet og personligt mod udpegede kriminelle mål, der står til mindst seks års fængsel - kør programmet, og se om også du er en af de udvalgte!

Henrik Christensen

@TP: Måske lige værd at bemærke, der kører kun Windows og fanger kun noget, dvs det man pt har identificeret signaturer på. Eksempelvis fanger det nok ikke Regin...

Regin-trojanen er ganske rigtig ny, men nu hvor nogen har fanget den, blir Detekt nok snart opdateret. Den nuværende udgave er specielt rettet mod to kendte statstrojanere. Den ene hedder FinSpy, som WikiLeaks opsnappede koden til for kun en måned siden, og straks gav videre til nogle dygtige antivirusfolk. FinSpy havde været kendt i et års tid, og leveres til undertrykkende regimer kloden rundt af det tyske firma Gamma.

Den anden ses som RCS_Backdoor fra italienske Hacking Team, der trods navnet nu er et kommercielt firma, som sælger til enhver villig efterretningstjeneste. Begge to samler tastetryk, skypesamtaler mm - og optager dig gennem din PCs kamera og mikrofon. Disse "bagdøre" er nærmest umulige at få skrabet af harddisken, og efterlader åbninger, som andre virusser gemmer sig i.

- FinFisher FinSpy is a very sophisticated backdoor produced by a German company and sold to government agencies worldwide. You might be targeted by yours or a foreign government. You should be really careful in your next steps in order to not further jeopardize your situation.

- Hacking Team RCS Backdoor is a very sophisticated backdoor produced by an Italian company and sold to government agencies worldwide. You might be targeted by yours or a foreign government. You should be really careful in your next steps in order to not further jeopardize your situation.

Sådan beskriver Detekt-programmet dem, når der bingo. Og så er der en stor chance for, at det er PET der lytter, at der er en dommerkendelse bag, og der er tid at blive grundigt paranoid. Metoden kalder de dataaflæsning, og lovligheden er en del af Terrorpakkerne.

Det kan måske også være en udenlandsk tjeneste, CIA eller andre af de grimme bogstaver - i hvert fald er det ikke skoleknægte, men professionelle der er efter dig. Jeg har desværre endnu ikke fundet ud af, hvordan disse lumske trojanere kan fjernes igen, udover et søm gennem harddisken. At finde ud af hvad afsenderen er ude på, er så næste store problem - for de blir ved med at angribe...

Olivier Goulin, Ved at lokke en bruger til at besøge en hjemmeside der er lavet til at udnytte fx kendte eller ukendte fejl i browsere, kan man således inficere brugeres computer. Men det er spekulation, jeg ved ikke hvordan det er foregået i pågældende tilfælde.