Cyber-Spionage

Flame für Angriff auf iranische Öl-Industrie verantwortlich?

Mittwoch, 30.05.2012 | 11:25 von Panagiotis Kolokythas
Programmcode von Flame
Vergrößern Programmcode von Flame
Es gibt nun weitere Informationen darüber, wieso der Spionage-Wurm Flame jetzt erst entdeckt wurde, obwohl er bereits seit über 2 Jahren im Einsatz war.
Die Entdeckung des hoch-entwickelten Spionage-Wurms Flame hatte am Dienstag hohe Wellen geschlagen. Es gibt aber weiterhin offene Fragen: Welches Land steckt hinter Flame, auf welche Länder zielt Flame genau ab und wieso dauerte es zwei Jahre, ehe der Wurm auffiel? Zumindest die Frage, welche Länder im Mittelpunkt der Attacken von Flame stehen, herrscht nun mehr Klarheit. Die russischen Sicherheitsexperten von Kaspersky Lab hatten Flame entdeckt, nachdem sie von einer UNO-Organisation gebeten worden waren, einen bisher unbekannten Schädling zu analysieren.

Der Symantec-Sicherheitsexperte Liam O Murchu verriet in einem Interview, dass Flame entdeckt worden ist, nachdem auf Rechnern der iranischen Energieindustrie plötzlich alle Daten gelöscht worden waren. Eine Untersuchung der Vorfälle liefert dann den Hinweis, dass eine neue Malware für die Löschung verantwortlich war.

Das iranische Ölministerium hatte bereits im April öffentlich darauf hingewiesen, dass verschiedene Server iranischer Energieunternehmen angegriffen worden seien. Später war bekannt geworden, dass auch die Rechner weiterer iranischer Ministerien angegriffen worden waren. Genauere Details wurden im April aber nicht bekannt und die iranischen Behörden gaben kurze Zeit später an, dass die Daten auf den betroffenen Rechnern mittels Backups wiederhergestellt werden konnten. Iranische Medien berichteten damals außerdem, die iranische Regierung wüsste, wer hinter den Attacken stünde.

Eine endgültige Sicherheit darüber, dass die Attacken durch den nun entdeckten Spionage-Schädling Flame durchgeführt wurden, gibt es derzeit noch nicht. Der Symantec-Experte Murchu verweist aber darauf, dass in dem modular aufgebauten Flame auch Programmcode steckt, den der Schädling für einen virtuellen "Selbstmord" nutzen könne, der dazu führe, dass der Schädling nicht nur alle Spuren von sich auf einem Rechner beseitigt, sondern auch alle anderen Daten löscht. Dieser Selbstmord-Programmcode könnte bei Flame dann ausgeführt werden, wenn die Angreifer, die Flame kontrollieren, alle für sie wertvollen Informationen von einem angegriffenen Windows-Rechner gestohlen haben.

Gestärkt wird die Vermutung von Murch durch eine Mitteilung des iranischen CERT (National Computer Emergency Response Team), dass offiziell verlauten lässt, dass Untersuchungen von "Flame" ergeben hätten, dass dieser Schädling für die jüngsten Vorfälle von Datenverlusten iranischer Rechner verantwortlich sein dürfte. Mittlerweile hat das iranische CERT auch ein Tool veröffentlicht, dass Flame auf Rechnern aufspürt und beseitigt.

Mittwoch, 30.05.2012 | 11:25 von Panagiotis Kolokythas
Kommentieren Kommentare zu diesem Artikel (0)
1480901