29.05.2012, 15:20

Panagiotis Kolokythas

Neue Malware

Spionage-Malware Flame - echte Bedrohung oder Medien-Hype?

Spionage-Malware Flame

Die Entdeckung des Spionage-Wurms Flame wirft eine wichtige Frage auf: Wer steckt hinter dem hoch entwickelten Schädling und wieso dauerte es über zwei Jahre, ihn ausfindig zu machen?
Über 350 deutschsprachige Medien-Berichte gab es innerhalb von nur wenigen Stunden über den neu entdeckten und äußerst hochentwickelten Cyberspionage-Schädling Flame . Dabei weist Flame Ähnlichkeiten zu den Schädlingen Stuxnet und Duqu auf, die vor einem halben Jahr in die Schlagzeilen gerieten und iranische Nuklearanlagen zum Ziel hatten. Auch Flame attackiert vor allem Rechner im Iran. Und ähnlich wie bei Stuxnet und Duqu weiß derzeit noch niemand, wer eigentlich hinter Flame steckt.
Die russischen Sicherheitsexperten von Kaspersky Lab haben Flame nach einem Hinweis einer UNO-Organisation entdeckt und analysiert und können ebenfalls nur über dessen Herkunft spekulieren. Die Russen spekulieren darüber, dass Flame zumindest mit staatlicher Hilfe entwickelt worden sein muss. Immerhin konzentriere sich Flame auf die Cyberspionage.
Dieser Ansicht schließen sich auch die Sicherheitsexperten von Symantec in einem Blog-Eintrag an. Demnach sei es wie bei Stuxnet und Duqu auch bei Flame eher unwahrscheinlich, dass nur eine Person stecke, sondern vielmehr müsse eine Organisation dahinter stecken, die über viel Geldmittel verfüge und die klares Set an Anweisungen befolge. McAfee hebt bei Flame ebenfalls die Gemeinsamkeiten mit Stuxnet und Duqu hervor. Die McAfee-Experten verweisen aber auch auf die wichtigen Unterschiede. So sei Flame beispielsweise modular aufgebaut, erweiterbar und auf die Spionage ausgelegt.
Eher kritisch sehen die Sicherheitsexperten von Webroot die Berichterstattung rund um Flame. Ein Sprecher von Webroot verwies gegenüber unserer US-Schwesterpublikation PC-WORLD darauf, dass Flame Methoden nutze, die seit 2007 bekannt seien. Im Kern sei Flame nur eine aus technischer Sicht übertrieben entwickelte Bedrohung, mit wenigen neuen Elementen. Daher bezeichnet der Sprecher auch die vielen Berichte über diesen Schädling als die Verbreitung von so genannten FUD - also fear (Angst), uncertainty (Unsicherheit) und Doubt (Zweifel).
Dennoch räumt auch Webroot ein, dass Flame ein bemerkenswertes Merkmal besitze und liefert damit auch eine Begründung dafür, warum Flame seit über zwei Jahren aktiv ist und erst jetzt publik wird. Webroot erklärt dies damit, dass viele Antiviren-Produkte eine reputationsbasierte Analyse nutzen, um neue Bedrohungen erkennen zu können. Ist ein Code bereits seit längerer Zeit im Umlauf und hat in dieser Zeit keine Schäden angerichtet, dann wird er von so einer reputationsbasierten Analyse eher positiv gewertet. Daher geht Webroot davon aus, dass die Entwickler von Flame absichtlich soviel Zeit zwischen der Entwicklung des Codes und der Nutzung des Schädlings als Spionage-Malware verstreichen haben lassen, um reputationsbasierte Schutzsysteme austricksen zu können.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1476628
Content Management by InterRed