Eher zufällig wurden die Sicherheitsspezialisten von Kaspersky Lab auf die Schadsoftware „Flame„ aufmerksam. Eigentlich waren sie im Auftrag der zur UNO gehörenden ITU auf der Suche nach einer Malware namens „Wiper„, die in westlichen Regionen Asiens Daten von diversen Computern gelöscht hatte. Der dabei entdeckte Wurm „Flame„ ist vermutlich bereits seit mehr als zwei Jahren tätig. „Flame„ sei eine Super-Cyberwaffe, sagen die Sicherheitsexperten. Ähnlich wie „Duqu„ und „Stuxnet„ nutze sie Softwareschwachstellen aus und greife gezielt bestimmte Computer an. Sie könne Informationen stehlen, dazu gehören Bildschirminhalte, gespeicherte Daten, Kontaktdaten und Telefonie-Mitschnitte. Die Schadsoftware mit der Benennung Worm.Win32.Flame sei sehr komplex und äußerst zielgerichtet eingesetzt worden. Auch deshalb sei sie bisher unentdeckt geblieben.
Mit dem hochentwickelten Schadprogramm seien zahlreiche Länder angegriffen worden, teilte Kaspersky Lab mit. Wer die Entwicklung von „Flame„ beauftragt hat, ist noch nicht bekannt. Die Software werde derzeit weiter analysiert. „Flame„ sei insbesondere für die Spionage auf Computern im Nahen Osten und für zahlreiche Cyberangriffe gegen das iranische Atomprogramm eingesetzt worden, teilten die Vereinten Nationen (UNO) mit. Man spreche die ernsteste Warnung aus, die die Organisation jemals veröffentlicht habe. Derweil erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI), „Flame„ stelle offensichtlich keine Gefahr für Deutschland dar. Die Computer von privaten Nutzern und auch deutschen Firmen seien offensichtlich nicht gefährdet. Herkömmliche Virenscanner erkennen das Schadprogramm derzeit noch nicht.
Update vom 01.06.2012
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet den Wurm „Flame” als weniger gefährlich als die Sicherheitsexperten von Kaspersky Lab. „Flame” sei keine Superwaffe, sondern ein aus verschiedenen Bauteilen zusammengestückeltes Schad-Programm, dessen Entwickler sich wenig Mühe bei dem Schutz des Überwachungsprogramms vor einer Analyse gemacht haben. Zudem sei es nicht, wie berichtet, insbesondere im Iran eingesetzt worden.
Update vom 08.06.2012
Es wurde bekannt, dass der Wurm offensichtlich gefälschte Microsoft-Zertifikate verwendete und sich als angebliches Windows-Update verbreiteten konnte. Microsoft hat bereits darauf reagiert.
Die Spionagesoftware wurde vermutlich gezielt auf bestimmten Computern in der Zeitzone +2 eingesetzt. Es sollen nur einige Tausend Rechner infiziert worden sein. Besonders interessiert ist die Spionagesoftware an PDF-Dokumente, Office-Dateien und Konstruktionszeichnungen. Flame wurde seit März 2010 eingesetzt, blieb aber bis vor kurzem unentdeckt. Man geht davon aus, dass es ein staatliches Spionageprogramm ist.
Inzwischen wurde die Selbstzerstörung des Wurms gestartet. Statt der implantierten Suicide-Funktion wird dafür ein Modul namens browse32.ocx genutzt. Dieses überschreibt die Dateien des Wurms Flame auf den infizierten Computern, sodass sie nicht wiederhergestellt werden können.
Update vom 17.10.2012
Die Sicherheitsexperten von Kaspersky Lab teilten mit, eine weitere Variante von Flame gefunden zu haben. Der Trojaner namens miniFlame kann der Spionage dienen und wurden von den selben Virenschreibern entwickelt, die zeitgleich die Schadprogramme Flame und Gauss geschrieben haben.
Hinterlasse jetzt einen Kommentar