miniFlame: Neuer Superschnüffler aus dem Hause Stuxnet

Bei der Analyse eines Command & Control-Servers von Flame hat das das Sicherheitsunternehmen Kasperky Lab einen neuen Spionageschädling entdeckt. Das auf den Namen miniFlame oder auch SPE getaufte Programm dient nicht nur als Plug-in für die Trojaner Flame und Gauss, sondern kann auch eigenständig arbeiten.

Offenbar wird MiniFlame nur für ausgewählte Angriffe eingesetzt. Weltweit fanden ihn die Experten auf weniger als 60 Rechnern. Hauptangriffsziel sind Highspeed-Rechner im Iran und Sudan. Laut Kaspersky ist miniFlame ein sehr kleines, aber äußerst präzises Spionage-Schadprogramm. Übertragen wird es entweder über "Flame" oder den Spionagetrojaner "Gauss". Es handelt sich dabei um einen Backdoor-Trojaner, der nicht nur Daten ausspäht. Er kann zudem Screenshots erstellen und per Fernsteuerung Befehle ausführen.

MiniFlame verbindet sich mit den gleichen C&C-Servern, die auch Flame nutzt. Über eine Anfrage beim C&C-Operator kann ein Modul nachgeladen werden, das das USB-Laufwerk infiziert. Das ermöglicht dem Angreifer auch einen Datendiebstahl, wenn der Rechner nicht mit dem Internet verbunden ist.

Insgesamt fanden die Experten sechs Varianten des Schädlings. Sie wurden alle zwischen 2010 und 2011 entwickelt und sind zum Teil noch im Internet aktiv. Die Architektur von miniFlame zeigt nicht nur enge Verwandtschaftsverhältnisse zu Flame, sondern auch zu Stuxnet, Duqu und Gauss. Das wiederum lässt den Schluss zu, dass die Schädlinge alle aus dem gleichen staatlichen Labor stammen. Kaspersky verdächtigt seit längerem die USA, der Auftraggeber für die Entwicklung der Schädlinge zu sein, um für Cyber-Spionage und Cyberkriegs-Einsätze gerüstet zu sein.