Sicherheit
Flame: Neuer Spionage-Virus entdeckt
von
Thorsten
Eggeling - 29.05.2012
Foto: Kaspersky
Experten von Kaspersky Lab haben einen hochkomplexen Spionage-Virus entdeckt. Die Schadsoftware ist wahrscheinlich schon seit Jahren verbreitet und wurde bisher von Antivirus-Programmen nicht bemerkt.
Kaspersky Lab ist einem äußerst komplexen Computer-Virus auf die Spur gekommen, der sich offenbar seit 5 Jahren unbemerkt im Nahen Osten ausbreitet. Die auf den Namen Flame getaufte Schadsoftware ist gut 20 MByte groß und damit über 20 Mal größer als der gefürchtete Trojaner Stuxnet. Mit Stuxnet griffen Unbekannte die iranischen Anlagen zur Urananreicherung an und zerstörten darüber die Zentrifugen.
In einem Artikel auf Securelist.com heißt es, dass Flame zusammengenommen eine der größten Bedrohungen darstellt, die jemals entdeckt wurde. Mit Flame verbreite sich neben Stuxnet und Duqu eine dritte noch viel gefährlichere Cyberwaffe in großem Stil. Noch steht die Entschlüsselung des Virus erst am Anfang. Beteiligt an der Untersuchung ist auch die International Telecommunication Union (ITU). Dabei handelt es sich um eine Unterorganisation der Uno.
Möglicherweise könnte Flame auch für einen Cyberangriff verantwortlich sein, der nach Berichten der Süddeutschen Zeitung für einen umfangreichen Datenverlust in mehreren iranischen Computersystemen geführt hat. Nach bisherigen Kenntnissen wurden insgesamt etwa 5000 Computer infiziert. Hauptsächlich betroffen sind Unternehmen und Bildungseinrichtungen im Iran, Israel, Sudan und Syrien und in den Palästinensergebieten. Aber er zielt ebenso auf Saudi-Arabien, Ägypten, Libanon und das Westjordanland ab.
Analyse des Flame-Virus
Die Experten von Kaspersky gehen bei Flame von einem Multitalent aus. Zwar könne er keinen physischen Schaden anrichten, aber hochsensible Daten sammeln, Einstellungen verändern, das Mikrofon einschalten, Gespräche mitschneiden, Screenshots machen und auch eine Unterhaltung im Chat aufzeichnen. Weiter verschickt das Programm von infizierten Rechnern alle möglichen E-Mails und Dateien. Die Sicherheitsexperten sehen deshalb in Flame ein allgemeines Werkzeug-Set für Cyberspionage. Möglich wäre auch, Module für spezifische Angriffe und konkrete Ziele zur transportieren. Da der Schädling die Fähigkeit hat, Komponenten nachzuladen, ist er definitiv eine Allzweckwaffe.
Die Experten von Kaspersky gehen bei Flame von einem Multitalent aus. Zwar könne er keinen physischen Schaden anrichten, aber hochsensible Daten sammeln, Einstellungen verändern, das Mikrofon einschalten, Gespräche mitschneiden, Screenshots machen und auch eine Unterhaltung im Chat aufzeichnen. Weiter verschickt das Programm von infizierten Rechnern alle möglichen E-Mails und Dateien. Die Sicherheitsexperten sehen deshalb in Flame ein allgemeines Werkzeug-Set für Cyberspionage. Möglich wäre auch, Module für spezifische Angriffe und konkrete Ziele zur transportieren. Da der Schädling die Fähigkeit hat, Komponenten nachzuladen, ist er definitiv eine Allzweckwaffe.
Kaspersky-Forscher Alexander Gostev erklärt gegenüber Wired, dass die Module als Erstellungsdatum 1994 und 1995 tragen. Der Code, den sie enthalten, stammt aber aus dem Jahr 2010. Damit soll das eigentliche Datum der Veröffentlichung verschleiert werden. Zudem gibt es ein Kill-Modul. Darüber lassen sich der Virus und alle seine Spuren rückstandslos auf dem Rechner beseitigen. Von dem Befall ist danach nichts mehr festzustellen.
Kaspersky hat in einer Flame-Version zwei Module entdeckt, die eine Übertragung durch USB-Sticks vermuten lassen. Bekannt ist dies bisher nur bei Stuxnet. Weiter verbreitet sich der Schädling über lokale Netzwerke. Er nutzt dabei unter anderem eine Sicherheitslücke, die andere Rechner über Netzwerkdrucker infizieren kann. Laut Kaspersky verwendet Flame möglicherweise bisher noch unbekannte Windows-Sicherheitslücken aus (Zero-Day-Lücke).
Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Die Untersuchungen stehen noch am Anfang. Nach Gostev wird es wohl Jahre dauern, bis der gesamte Flame-Code analysiert ist.
Inzwischen hat das iranische Computer Emergency Response Team verkündet, dass es eine Software entwickelt hat, mit der sich Flame aufspüren lässt.
