De Amerikaanse inlichtingendienst NSA zou betrokken of verantwoordelijk zijn voor de geavanceerde Regin-malware. Dit meldt het Russische anti-virusbedrijf Kaspersky Lab. Het bedrijf baseert deze stelling op een analyse van de viruscode en bestanden die door Edward Snowden zijn gelekt. Het Duitse Der Spiegel publiceerde de documenten en bestanden.
Onder de bestanden die waren gelekt, bevond zich een keylogger met de codenaam QWERTY die door de NSA zou zijn ontwikkeld. Onderzoekers die deze keylogger analyseerden, ontdekten dat de code identiek is aan een plug-in van Regin-malware. Daar komt bij dat de QWERTY-keylogger niet als losse module kan worden ingezet: de functionaliteit is afhankelijk van een Regin-module. Aldus de onderzoekers.
Extreme complexiteit
“Gezien de extreme complexiteit van het Regin-platform en de kleine kans dat het door iemand kan worden nagebootst die geen toegang tot de broncode heeft, concluderen we dat de ontwikkelaars van de QWERTY-malware en de Regin-ontwikkelaars dezelfde zijn of samenwerken”, zegt onderzoeksdirecteur Costin Raiu. Het Nederlandse beveiligingsbedrijf Fox-IT zei eerder al dat de malware door de NSA of Britse geheime dienst GCHQ gemaakt zou zijn.
De malware gebruikt diverse technieken om niet gedetecteerd te worden. Het is onbekend hoe Regin computers infecteert. “Regin staat op eenzame hoogte. Het is zeker complexer dan Stuxnet en Flame als het gaat om het ontwerp van het platform, functionaliteit en flexibiliteit”, aldus Raiu.