Cyberangriff

Neuer Spionage-Schädling "Flame" beeindruckt Sicherheitsxperten

Dienstag den 29.05.2012 um 12:19 Uhr

von Panagiotis Kolokythas

Flame Malware
Vergrößern Flame Malware
Sicherheitsexperten haben einen neuen Spionage-Schädling entdeckt, der zum Cyberangriff auf Länder verwendet wird. Der Name des Schädlings: Flame.
Sicherheitsexperten von Kaspersky Lab haben einen neuen Schädling entdeckt, der bereits als Cyberwaffe zum Angriff auf mehrere Länder missbraucht worden ist. Der neue, hochentwickelte Schädling wurde auf den Namen "Flame" (Flamme) getauft und trägt die vollständige Bezeichnung Worm.Win32.Flame . Kaspersky stieß auf den neuen Schädling, nachdem es von der zur UNO gehörenden internationalen Fernmeldeunion ITU darum gebeten worden war, den Code einer neu entdecken Malware zu analysieren, die in Ländern des Mittleren Ostens wichtige Informationen gelöscht hatte. Während der Analyse dieses Codes stieß Kaspersky auf die neue Malware Flame.

Die Komplexität und Funktionalität von Flame soll alle bisherigen Cyber-Bedrohungen in den Schatten stellen, darunter auch Stuxnet und Duqu. Bei Flame soll es sich um ein  hochentwickeltes Toolkit für Cyber-Attacken handeln, das laut Angaben von Kaspersky aus vielen Modulen besteht, die in vielen Fällen in der Script-Programmiersprache LUA programmiert sind. "Die Malware ist auf Cyberspionage ausgerichtet und kann wertvolle Informationen stehlen, inklusive Bildschirminhalte, gespeicherte Dateien, Kontaktdaten sowie Mitschnitte von Audio-Konversationen", heißt es in einer Mitteilung der russischen Sicherheitsexperten von Kaspersky Lab.

Funktionsweise von Flame
Vergrößern Funktionsweise von Flame
© Kaspersky Lab

Flame ist zugleich Backdoor und trojanisches Pferd. Über seine Computer-Wurmeigenschaften sorgt es zusätzlich für seine Verbreitung in Netzwerken und über externe Speicher. Bisher ist nicht bekannt, welche Schwachstellen genau Flame dafür nutzt, um ein System zu befallen. Die Kaspersky-Experten halten es aber für möglich, dass Flame dafür die kritische Sicherheitslücke nutzen könnte, die Microsoft mit dem Sicherheitsbulletin MS10-033 im Juni 2010 publik gemacht hatte und mit dem dazugehörigen Sicherheitsupdate geschlossen hatte. Das Flame diese Schwachstelle nutzt, ist aber noch nicht bestätigt. Sobald Flame erfolgreich ein System befallen hat, beginnt es mit seiner Cyberspionage und überwacht etwa den Netzwerk-Verkehr, die Tastatur-Eingaben, die Audio-Gespräche und erstellt Screenshots vom Bildschirm. Auf all diese Informationen hat eine Person oder Organisation über sogenannte Command-and-Control-Server Zugriff.

Flame besteht aus über 20 Modulen und ist über 20 MB groß. Damit ist Flame auch ein ungewöhnlich umfangreicher Schädling. Das erklärt sich laut Kaspersky vor allem dadurch, dass es viele Programmbibliotheken enthält, die beispielsweise zum Entpacken von Dateien genutzt werden. Hinzu kommen Programmbibliotheken für den Zugriff auf Datenbanken. Dar ein Großteil von Flame in LUA programmiert ist, enthält Flame auch eine virtuelle Maschine für LUA. Der wichtigste Teil von Flame ist dagegen eher klein und besteht aus nur rund 3000 Zeilen Code.

Die Länder greift Flame überwiegend an
Vergrößern Die Länder greift Flame überwiegend an
© Kaspersky Lab

Kaspersky hat den Cyber-Schädling auf den Namen Flame getauft, weil das Modul des Schädlings, dass für die Attacke und die Infektion zusätzlicher Rechner verantwortlich ist, den Namen Flame trägt.

Stellt sich die Frage, wer Flame entwickelt hat. Kaspersky weist darauf hin, dass der Schädling seit 2010 vor allem dafür genutzt wird, diverse Staaten des Mittleren Ostens zu attackieren, zu denen beispielsweise der Iran, der Libanon, Syrien, Palästina, Israel Sudan, Saudi Arabien und Ägypten gehören.

Dabei ginge es den Angreifern vor allem um Cyberspionage. Damit sei es eher unwahrscheinlich, dass hinter Flame Cyberkriminelle oder Hacker stecken. Wahrscheinlicher ist es dagegen, dass Flame mit Hilfe einer Staates entwickelt und betrieben wird. Bisher habe sich aber nicht ermitteln lassen, wer genau hinter Flame steckt.

Nach Kaspersky warnt mittlerweile auch das iranische CERT vor der Malware. Die Sicherheitsexperten dort  Das Laboratory of Cryptography and System Security (CRYSYS) warnt ebenfalls vor der Malware und hat sie auf den Namen "sKyWIper" getauft.

Dienstag den 29.05.2012 um 12:19 Uhr

von Panagiotis Kolokythas

Kommentieren Kommentare zu diesem Artikel (1)
  • first2 16:22 | 29.05.2012

    Die Büchse der Pandora

    Politikdienstleister, die so dämlich sind, die Büchse der Pandora zu öffnen, dürfen sich nicht wundern, selbst Opfer ihrer eigenen Strategien zu werden.

    Antwort schreiben
1476429