Spionage-Schädling

Neueste Flame-Analyse veröffentlicht

Dienstag, 18.09.2012 | 17:22 von Frank Ziemann
Flame: Kommunikation mit den Clients
Vergrößern Flame: Kommunikation mit den Clients
© Symantec
Mehrere Antivirusunternehmen und Behörden haben gemeinsam zwei entdeckte Kontroll-Server der stillgelegten Flame-Malware untersucht. Dabei haben sie auch Hinweise auf mindestens drei weitere Spionage-Tools gefunden, die noch unentdeckt sind.
Eine gemeinsame Untersuchung der Sicherheitsunternehmen Kaspersky Lab und Symantec mit der ITU (International Telecommunications Union) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige neue Erkenntnisse über das im Mai entdeckte Spionage-Tool Flame gebracht. Flame gehört zu einer bislang noch sehr kleinen Zahl bekannt gewordener Spionage-Programme im Stil Trojanischer Pferde, hinter denen staatliche Stellen vermutet werden.

Kaspersky und Symantec haben jeweils eigene Berichte über die Erkenntnisse veröffentlicht, die sie bei der gemeinsamen Analyse zweier Flame-Server gewonnen haben. Einer der Kontroll-Server wurde im März, der zweite im Mai 2012 aufgesetzt. Das Setup besteht aus bekannten Open-Source-Komponenten wie Linux, Apache, MySQL und PHP mit einer recht schlichten, über HTTPS zugänglichen Bedienkonsole. Im Gegensatz zum typischen C&C-Server für Bot-Netze haben die Flame-Entwickler auf alles verzichtet, was bei Routine-Checks durch den Hosting-Provider verdächtig erscheinen könnte.

Die Steuerung der Clients, also der mit Flame und dessen Verwandten verseuchten Rechner, erfolgt über spezielle tar.gz-Dateien, die von den Angreifern "Daten-Container" genannt werden. Eine nähere Untersuchung der Kommunikation zwischen Angreifer, Server und Clients zeigt, dass es vier unterschiedliche Client-Typen gibt, die als SP , SPE , FL und IP bezeichnet sind. Dabei steht FL für Flame, während die drei übrigen noch unbekannte Schädlinge sind. Die Sicherheitsforscher haben außerdem Hinweise gefunden, dass die Entwicklung der Flame-Familie bereits im Jahr 2006 begonnen haben muss, viel früher als bis dahin angenommen. Die Mehrzahl der infizierten Clients ist im Iran und im Sudan zu suchen.

Daten, die von den Clients kommen und wohl ausspionierte Informationen enthalten, werden vom Kontroll-Server mit einem PGP-ähnlichen Verfahren verschlüsselt und gespeichert. Die Angreifer rufen diese Daten alle halbe Stunde ab. Auf dem etwas älteren der beiden Server sind innerhalb einer Woche knapp sechs Gigabytes solcher Daten aufgelaufen. Der zweite Server hat kaum Daten empfangen, jedoch das so genannte "Selbstmord-Modul" an die Flame-Clients ausgeliefert. Damit erhielten die Clients den Befehl sich Ende Mai 2012 selbst zu löschen. Die Umsetzung des Befehls haben Antivirusfirmen auch auf ihren Honey-Pots beobachtet.

Darüber, wer hinter Flame und seinen Geschwistern steckt, äußern sich die Forscher nicht klar. Sie vertreten zwar übereinstimmend die Ansicht, es müsse sich um staatliche Stellen handeln, deutlicher wollen (oder können) sie jedoch nicht werden. Die Washington Post hatte bereits im Juni behauptet , die USA und Israel steckten gemeinsam hinter Flame und Stuxnet.

Dienstag, 18.09.2012 | 17:22 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1581942