1606031

Stuxnet, Duqu, Flame und Gauss stecken unter einer Decke

15.10.2012 | 16:33 Uhr |

Die Crème de la Crème der Cyperspionage-Programme scheint unter einer Decke zu stecken. Das hat eine Analyse des Flame-Abkömmlings miniFlame ergeben, die Kaspersky durchgeführt hat.

MiniFlame ist ein kleines und sehr flexibles Schadprogramm, das für den Einsatz bei gezielten Cyberspionage-Attacken programmiert wurde, analysiert Kaspersky. MiniFlame (auch bekannt als SPE) wurde im Juli 2012 von Kaspersky entdeckt. Während einer Analyse der Command- & Control-Server (C&C-Server) von Flame stellte sich später heraus, dass miniFlame auch als unabhängiges Programm eingesetzt werden kann. Es funktioniert außerdem auch als Plug-in für Flame und Gauss.

Freeware findet und löscht Flame

“miniFlame ist eine hochpräzise Angriffswaffe. Höchstwahrscheinlich dient sie als zweite Welle einer Cyber-Attacke”, sagt Alexander Gostev, Chief Security Expert von Kaspersky Lab. “Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen. Die Entdeckung von miniFlame ist für uns auch eine weitere Bestätigung der Vermutung, dass die Entwickler der bekanntesten Cyberwaffen zusammenarbeiten: Stuxnet , Duqu , Flame und Gauss .”
 
Die Analyse von miniFlame ergab, dass die Malware in verschiedenen Versionen zwischen 2010 und 2011 entwickelt wurde. Davon sollen noch immer einige Varianten im Netz aktiv sein.
 
Die wichtigsten Erkenntnisse von Kaspersky zu miniFlame:
 

  • MiniFlame basiert auf der gleichen Architektur wie Flame. Es funktioniert als alleinstehendes Programm oder als Plug-in von Flame oder Gauss.

  • Das Spionage-Werkzeug arbeitet als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systeme spezialisiert ist.

  • Die Entwicklung von miniFlame hat vermutlich Anfang 2007 begonnen und dauerte bis Ende 2011. Es wird angenommen, dass viele Varianten davon existieren. Bis dato hat Kaspersky Lab sechs der Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden.

  • Im Unterschied zu Flame oder Gauss ist jedoch seine Infektionsrate wesentlich niedriger. Nach den Daten, die Kaspersky Lab vorliegen, dürften etwa zehn bis 20 Rechner infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner dürfte bei lediglich 50 bis 60 Stück liegen.

  • Aus der geringen Verbreitung sowie seinen flexiblen Eigenschaften zum Diebstahl von Daten schließt Kaspersky, dass miniFlame für gezielte Cyber-Spionage eingesetzt wurde, und vermutlich bei Rechnern zum Einsatz kam, die schon mit Gauss oder Flame infiziert waren.

  • Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots eines infizierten Rechners während dieser spezielle Programme und Anwendungen wie Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client betreibt.

  • MiniFlame führt einen Upload der gestohlenen Daten durch, indem es sich mit C&C-Servern verbindet, die auch von Flame genutzt werden können. Durch die Anfrage des miniFlame C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und diese nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.

0 Kommentare zu diesem Artikel
1606031