zurück zum Artikel

FAQs zum Superspion Flame

Hintergrund

Der Spionagewurm Flame wird zur "tödlichen Cyberwaffe" hochstilisiert. Bei nüchterner Betrachtung bleibt ein Werkzeug von Profis für Profis, das gar nicht so viel Neues zu bieten hat.

Was ist Flame?

Das ist der Codename eines sehr modular aufgebauten Spionage-Programms; es wird auch als Flamer oder sKyWIper bezeichnet. Flame wurde erst kürzlich entdeckt [1]; die Analyse aller Bestandteile wird sich noch einige Zeit hinziehen. Nach Schätzungen der Hersteller von Antiviren-Software hat Flame etwa 1000 Rechner vor allem im Nahen Osten infiziert.

Was macht Flame?

Der Schädling hat sich auf die Beschaffung von Informationen aller Art spezialisiert. Er kann nicht nur Dateien oder E-Mails von infizierten Rechnern klauen, sondern diesen auch über angeschlossene Mikrofone und Kameras zur Wanze oder Überwachungskamera umfunktionieren. Außerdem kann er Screenshots, Tastatureingaben und Netzwerkverkehr aufzeichnen.

Aber das gehört doch bei vielen Schädlingen schon zum Standard-Repertoire. Gibt es auch etwas Neues?

Ungewöhnlich ist eine Funktion, mit Bluetooth-Geräten im Umfeld in Verbindung zu treten. Noch ist nicht ganz klar, was da passiert. Denkbar wäre es, Headsets zur Überwachung zu nutzen oder etwa Bilder von Smartphones zu stehlen. Flame-infizierte Rechner können sich anscheinend auch als Bluetooth-Gerät ausrufen, das selbst Dienste anbietet. Genauere Details müssen weitere Analysen ans Licht bringen.
Eine weitere Besonderheit ist der mitgebrachte LUA-Interpreter, über den sich die Spionage-Software sehr einfach mit Skripten erweitern lässt.

Ein modulares Konzept, ausgefeilte Spionage-Funktionen – das alles kennen wir bereits von Zeus und SpyEye. Worin unterscheidet sich Flame von diesen Online-Banking-Trojaner-Baukästen?
Erst auf Befehl versucht Flame auch andere Rechner zu infizieren. (Bild: Kaspersky Labs)

Anders als bei Banking-Trojanern haben es die Hintermänner nicht auf maximale Verbreitung abgesehen – im Gegenteil. Nach aktuellem Kenntnisstand verbreitete sich der Wurm zunächst gar nicht weiter und wenn die erste Auswertung ergab, dass auf einem System nichts zu holen sei, wurde Flame sogar wieder entfernt. Erst wenn sein Herr und Meister den Befehl dazu gab – etwa weil die gewonnenen Informationen viel versprechend aussahen, versuchte Flame weitere Systeme zu infizieren. Dies konnte unter anderem über das lokale Netz oder über USB-Sticks erfolgen. Typischerweise wurden bei einem Einsatz nur bis zu einem Dutzend Rechner infiziert. Die Gesamtzahl von etwa 1000 infizierten Systemen über mehrere Jahre hinweg ist sehr gering im Vergleich zu Zeus und SpyEye, die jeweils Millionen von Systemen gekapert haben.

Und wie gelangte Flame ursprünglich auf die infizierten PCs?

Das ist bislang nicht bekannt. Es ist jedoch anzunehmen, dass die typische Vorgehensweise für gezielte Angriffe angewendet wurde. Dabei ermitteln die Täter vorab einen Kreis von Personen, die Zugang zu den interessierenden Informationen haben oder diesen zumindest vermitteln können. Danach werden diese Zielpersonen gezielt mit der Spionage-Software infiziert. Das kann entweder über spezielle E-Mails, scheinbar verlorene USB-Sticks oder etwa auch durch Einbruch in die Wohnung des Opfers geschehen, bei denen die Software manuell auf dem Computer des Opfers installiert wird.

Wer ist der Urheber von Flame? Der isrealische Geheimdienst?

Das weiß man nicht – und die Chancen stehen gut, dass das auch nicht ans Licht kommt. Man weiß, dass die Software von Profis – und zwar wahrscheinlich einem ganzen Team entwickelt wurde. Außerdem wurde sie offenbar wiederholt in verschiedenen Szenarien eingesetzt. Das Einsatzgebiet war vor allem der Mittlere Osten, mit einem Schwerpunkt auf dem Iran. Das lässt gewisse Rückschlüsse auf die in Frage kommenden Parteien zu. Aber andererseits muss man im Hinterkopf behalten, dass man oft nur das sieht, was man sehen soll.

Flame wird oft in einem Atemzug mit Stuxnet genannt. Sind die beiden verwandt?

Beide Programme kamen in einem Umfeld zum Einsatz, das man mit Geheimdiensten assoziiert. Doch technisch gibt es nur sehr wenig Gemeinsamkeiten. Stuxnet war eine sehr zielgerichtete, trotz ihres Funktionsumfangs schlanke Sabotage-Software; Flame hingegen ist ein sehr mächtiges, universelles und mit 20 MByte schon etwas aufgeblasen wirkendes Spionage-Werkzeug. Die Viren-Experten, die den Schädling analysiert haben, konnten auch keine signifikanten Ähnlichkeiten des Codes feststellen. Dass teilweise ähnliche Lücken für die Verbreitung genutzt wurden, kann viele Gründe haben.

Ist Flame der Prototyp einer modernen "Cyberwaffe"?

Die Aufgabe von Flame ist nicht Zerstörung sondern Spionage. Somit kann man den Schädling wohl eher als Cyberwanze denn als Waffe bezeichnen.

Was ist denn das wirklich Besondere an Flame?

Die Spionage-Software wurde offenbar über viele Jahre hinweg unentdeckt eingesetzt. Bis zur Entdeckung erkannte keine einzige Antiviren-Software den Schädling. Das zeigt einmal mehr, wie wenig Antiviren-Software geeignet ist, sich vor gezielten Attacken zu schützen. Die Hauptaufgabe von AV-Software liegt darin, Massenware mit großer Verbreitung abzuwehren. Gegen Spezial-Software wie Flame ist sie weitgehend machtlos.

[Update 6.6.2012]
Mittlerweile haben Virenforscher aufgedeckt, dass Teile von Flame mit einem Zertifikat unterschrieben [2] waren, das scheinbar von Microsoft stammt. Damit konnte der Superspion sogar Rechner über gefälschte Windows Updates [3] infizieren. Obwohl weder die Technik zum Fälschen der Zertifikate noch die zum Kompromittieren der Updates neu sind, zeigen diese Angriffe doch, dass hier Experten mit hervoragenden Kenntnissen und beträchtlichen Ressourcen am Werk waren.


URL dieses Artikels:
http://www.heise.de/-1586382

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Flame-Virenforschern-geht-Super-Spion-ins-Netz-1585433.html
[2] https://www.heise.de/meldung/Super-Spion-Flame-trug-Microsoft-Signatur-1590335.html
[3] https://www.heise.de/meldung/Windows-Update-kompromittiert-1605393.html