Menü
Security

Flame: Virenforschern geht Super-Spion ins Netz

Von
vorlesen Drucken Kommentare lesen 344 Beiträge

Virenforscher haben im Nahen Osten die bislang wohl professionellste Spionagesoftware entdeckt. Der Flame-Bot ist als Baukasten-System aufgebaut, dessen Spezialität das Einsammeln von Informationen aller Art ist: Er kann unter anderem Audiomitschnitte erstellen, Tastatureingaben überwachen, Netzwerk-Traffic belauschen und Screenshots abgreifen. Es sieht so aus, als sei der Schädling unbemerkt von Antiviren-Software bereits seit Jahren für gezielte Attacken vor allem im Nahen Osten aktiv, unter anderem im Iran, Israel, Sudan, Syrien und im Libanon.

Die Antiviren-Experten von Kaspersky und Symantec haben rund 20 Funktionsmodule entdeckt, von denen bislang nur eine Hand voll untersucht wurde. Unter anderem enthält er als Skript-Engine einen Lua-Interpreter, mit dem sich sehr einfach flexible Erweiterungen stricken lassen. Darüber hinaus ist der auch als Flamer oder sKyWIper bezeichnete Superspion ein klassischer Bot, der in regelmäßigen Abständen durch eine SSL-verschlüsselte Verbindung einen Kommandoserver kontaktiert. Dort holt er sich neue Befehle und liefert seine gesammelten Informationen an den Botnetz-Betreiber ab.

Viele Wege führen zu Flame: Der Super-Bot verbreitet sich über zahlreiche Methoden.

(Bild: Kaspersky Labs)

Der Bot kann sich auf verschiedenen Wegen verbreiten, etwa über USB-Sticks oder lokale Netze. So soll Flame im LAN über den Domain Controller Benutzeraccounts auf anderen Rechnern anlegen können. Anschließend nutzt Flame die Accounts, um die Rechner zu infizieren. Unklar ist derzeit noch, ob sich die Malware über ungepatchte Windows-Lücken verbreitet. Zumindest Kaspersky berichtet von Fällen, in denen ist es Flame gelungen ist, vollständig gepatchte Windows-7-Rechner über das Netzwerk zu infizieren.

Aufgrund des enormen Funktionsumfangs gehen die Antivirenexperten von Kaspersky davon aus, dass Flame ein professionelles Spionagewerkzeug ist, das im staatlichen Auftrag entwickelt wurde. Insgesamt ist die Malware stolze 20 MByte groß – rund 20 Mal so groß wie etwa Stuxnet, welches allerdings nach bisherigen Informationen nur für einen ganz bestimmten Zweck entwickelt wurde: der Sabotage der Urananreicherungsanlage in Natanz.

Worauf es der Superspion genau abgesehen hat, ist bislang noch unklar; wahrscheinlich wurde er mehrfach in verschiedenen Szenarien eingesetzt, um jeweils ein bestimmtes Ziel zu erreichen. Die Virenforscher haben Flame auf den Systemen von Organisationen aus dem Regierungsumfeld, aber auch bei Bildungseinrichtungen und Privatpersonen gesichtet. Sie schätzen, dass etwa tausend Rechner infiziert sind.

Erstmals gesichtet wurde die Spionagesoftware allerdings im Jahr 2007 in Europa, wie das ungarischen Virenlabor CrySyS (PDF) berichtet. Möglicherweise sei die Malware bereits seit acht Jahren aktiv – ohne von gängiger AV-Software erkannt zu werden. Das gelang offenbar, weil der Schädling sehr gezielt verteilt wurde; in der Regel haben die Botnetz-Betreiber stets nur mehrere Dutzend Systeme infiziert. Von Systemen, auf denen die Betreiber keine interessanten Informationen entdecken konnten, wurde die Schnüffelsoftware nach der ersten Auswertungsrunde gleich wieder entfernt.

Siehe dazu auch