29.05.2012, 12:19

Panagiotis Kolokythas

Cyberangriff

Neuer Spionage-Schädling "Flame" beeindruckt Sicherheitsxperten

Flame Malware

Sicherheitsexperten haben einen neuen Spionage-Schädling entdeckt, der zum Cyberangriff auf Länder verwendet wird. Der Name des Schädlings: Flame.
Sicherheitsexperten von Kaspersky Lab haben einen neuen Schädling entdeckt, der bereits als Cyberwaffe zum Angriff auf mehrere Länder missbraucht worden ist. Der neue, hochentwickelte Schädling wurde auf den Namen "Flame" (Flamme) getauft und trägt die vollständige Bezeichnung Worm.Win32.Flame. Kaspersky stieß auf den neuen Schädling, nachdem es von der zur UNO gehörenden internationalen Fernmeldeunion ITU darum gebeten worden war, den Code einer neu entdecken Malware zu analysieren, die in Ländern des Mittleren Ostens wichtige Informationen gelöscht hatte. Während der Analyse dieses Codes stieß Kaspersky auf die neue Malware Flame.
Die Komplexität und Funktionalität von Flame soll alle bisherigen Cyber-Bedrohungen in den Schatten stellen, darunter auch Stuxnet und Duqu. Bei Flame soll es sich um ein  hochentwickeltes Toolkit für Cyber-Attacken handeln, das laut Angaben von Kaspersky aus vielen Modulen besteht, die in vielen Fällen in der Script-Programmiersprache LUA programmiert sind. "Die Malware ist auf Cyberspionage ausgerichtet und kann wertvolle Informationen stehlen, inklusive Bildschirminhalte, gespeicherte Dateien, Kontaktdaten sowie Mitschnitte von Audio-Konversationen", heißt es in einer Mitteilung der russischen Sicherheitsexperten von Kaspersky Lab.
Flame ist zugleich Backdoor und trojanisches Pferd. Über seine Computer-Wurmeigenschaften sorgt es zusätzlich für seine Verbreitung in Netzwerken und über externe Speicher. Bisher ist nicht bekannt, welche Schwachstellen genau Flame dafür nutzt, um ein System zu befallen. Die Kaspersky-Experten halten es aber für möglich, dass Flame dafür die kritische Sicherheitslücke nutzen könnte, die Microsoft mit dem Sicherheitsbulletin MS10-033 im Juni 2010 publik gemacht hatte und mit dem dazugehörigen Sicherheitsupdate geschlossen hatte. Das Flame diese Schwachstelle nutzt, ist aber noch nicht bestätigt. Sobald Flame erfolgreich ein System befallen hat, beginnt es mit seiner Cyberspionage und überwacht etwa den Netzwerk-Verkehr, die Tastatur-Eingaben, die Audio-Gespräche und erstellt Screenshots vom Bildschirm. Auf all diese Informationen hat eine Person oder Organisation über sogenannte Command-and-Control-Server Zugriff.
Flame besteht aus über 20 Modulen und ist über 20 MB groß. Damit ist Flame auch ein ungewöhnlich umfangreicher Schädling. Das erklärt sich laut Kaspersky vor allem dadurch, dass es viele Programmbibliotheken enthält, die beispielsweise zum Entpacken von Dateien genutzt werden. Hinzu kommen Programmbibliotheken für den Zugriff auf Datenbanken. Dar ein Großteil von Flame in LUA programmiert ist, enthält Flame auch eine virtuelle Maschine für LUA. Der wichtigste Teil von Flame ist dagegen eher klein und besteht aus nur rund 3000 Zeilen Code.
Kaspersky hat den Cyber-Schädling auf den Namen Flame getauft, weil das Modul des Schädlings, dass für die Attacke und die Infektion zusätzlicher Rechner verantwortlich ist, den Namen Flame trägt.
Stellt sich die Frage, wer Flame entwickelt hat. Kaspersky weist darauf hin, dass der Schädling seit 2010 vor allem dafür genutzt wird, diverse Staaten des Mittleren Ostens zu attackieren, zu denen beispielsweise der Iran, der Libanon, Syrien, Palästina, Israel Sudan, Saudi Arabien und Ägypten gehören.
Dabei ginge es den Angreifern vor allem um Cyberspionage. Damit sei es eher unwahrscheinlich, dass hinter Flame Cyberkriminelle oder Hacker stecken. Wahrscheinlicher ist es dagegen, dass Flame mit Hilfe einer Staates entwickelt und betrieben wird. Bisher habe sich aber nicht ermitteln lassen, wer genau hinter Flame steckt.
Nach Kaspersky warnt mittlerweile auch das iranische CERT vor der Malware. Die Sicherheitsexperten dort  Das Laboratory of Cryptography and System Security (CRYSYS) warnt ebenfalls vor der Malware und hat sie auf den Namen "sKyWIper" getauft.
Kommentare zu diesem Artikel (1)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1476429
Content Management by InterRed