Internetsicherheit : Trojaner Flame infiltriert Rechner im Nahen Osten

Anti-Viren-Experten haben einen Computerschädling analysiert, der wohl mit Stuxnet in Verbindung steht: Flame soll im Nahen Osten seit Jahren heikle Daten sammeln.
Ausschnitt aus dem Code von Flame

Analysten für IT-Sicherheit haben einen neuen Computerwurm entdeckt. Die Flame getaufte Schadsoftware habe Tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte das auf Anti-Viren-Programme spezialisierte Kaspersky Lab mit. 

Flame ist ein sogenannter Trojaner, ein Programm also, dass sich tarnt und dank der Fahrlässigkeit eines Nutzers in ein System einschleust. Es kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chat-Konversationen aufzeichnen. Außerdem enthält das Programm demnach eine Nachladefunktion, um weitere Programme auf dem befallenen Rechner einschleusen zu können.

Ersten Analysen zufolge dient Flame dazu, Daten zu entwenden und Nutzer der Systeme auszuspähen. Physischer Schaden sei von dem Virus nicht zu erwarten. Die Analysten zeigten sich aber beeindruckt von den vielen Wegen, auf denen Flame Daten sammelt. So belauscht es beispielsweise via Bluetooth Geräte in der Umgebung des befallenen Rechners, wenn es eine offene Bluetooth-Verbindung findet. Und die Bildschirmfotos, die es macht, weden nicht zufällig angefertigt, sondern vor allem, wenn bestimmte Anwendungen laufen, die Flame interessieren.

Verbindung zu Stuxnet

Die Experten von Kaspersky stehen bei der Entschlüsselung des Programms nach eigenen Angaben noch am Anfang. Flame habe 20-mal mehr Codes als Stuxnet, mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Sind alle Programmteile auf dem befallenen Rechner geladen, ist der Schädling 20 Megabyte groß.

Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, Flame habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben kürzlich für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. Sollten sich die Angaben bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyberwaffe , die im großen Stil verbreitet wurde.

Flame hat allerdings ein anderes Ziel als Stuxnet und sein Code sei offensichtlich von anderen Programmierern geschrieben worden, schreibt ein Kaspersky-Analyst in einem Blog . Trotzdem glaubt er an eine Verbindung zu Stuxnet. Denn Flame ähnele in vielen Punkten Stuxnet und Duqu. Da sei nicht nur die regionale Verteilung des Angriffes, die der von Stuxnet ähnele. Das Programm sei auch sehr hoch entwickelt und könnte "problemlos als eine der komplexesten Bedrohungen beschrieben werden, die bislang entdeckt wurden".

Bis zu 5.000 Computer betroffen

Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen. Laut einer von Kaspersky erstellten Karte hat Flame dabei in den vergangen zwei Jahren Systeme in den folgenden Ländern befallen: Iran , Libonon, Syrien , Sudan , Ägypten , palästinensische Gebiete und Saudi-Arabien .

Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Jedoch deutete das Unternehmen an, der Auftraggeber der Software könne derselbe sein wie bei Stuxnet.

Gefunden wurde das Programm nicht von Kaspersky selbst. Die International Telecommunications Union, eine Agentur der Vereinten Nationen, hatte es entdeckt und Kaspersky um Hilfe bei der Analyse gebeten.

Der 2010 entdeckte Stuxnet war für Industrieprogramme entwickelt worden damals ein Novum. Er hatte vor allem Industrieanlagen wie Kraftwerke oder Chemiefabriken, auch in Deutschland, befallen. Betroffen waren auch Kunden, die das Siemens-Steuerungssystem Simatic einsetzten. Allerdings hat Siemens zufolge keines der Unternehmen einen konkreten Schaden dadurch erlitten.

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

25 Kommentare Seite 1 von 4 Kommentieren

Flame, Daqu, Stuxnet

"Wenn dieser Virus erst jetzt entdeckt wurde, dann ist doch schon laengst die ein oder andere neuere Generation seit ein oder zwei Jahren unentdeckt unterwegs."

Und Zitat von Herr Vorragend (toller Name!)
"Und da "Flame" ja sogar älter ist als Stuxnet, ist damit klar, dass Flame sich nicht bei Stuxnet "bedient" haben kann, sondern höchstens anders herum."

Für beides gilt: Möglich, aber nicht unbedingt!
Das Besondere an Flame ist sein modularer Aufbau. Angefangen hat der Virus als kleine Version, die sich durch immer neues Runterladen weiterer Code-Schnipsel immer weiter vergrößert. Das bedeutet, dass er sehr wohl Code-Teile anderer, auch Fremdviren nun in sich tragen kann und andererseits, dass er sich auch in Zukunft immer weiter anpassen werden kann.

Kurios ist auch, dass er durch seine modulare Bauweise sogar ein Stück weit vor Entdeckung geschützt war einfach aufgrund seiner schieren Größe, die er über die Jahre erlangte. Der schon sehr komplexe Daqu-Virus ist mit 500kb sehr groß. Von Flame fand man Versionen mit irren 20mb und einzelnen Modulen allein mit bis zu 6mb.

Im Übrigen wird davon ausgegangen, dass Flame, Stuxnet und Daqu nicht vom gleichen Urheber hergestellt, sondern in Auftrag gegeben wurde von drei verschiedenen Teams. Mindestens drei Versionen also, alle für das gleiche Ziel. Das wäre auch typisch für die Sicherstellung einer militärischen Operation und schließt (auch finanziell) mehr als alles andere eine nicht-staatliche Beteiligung aus

Greetings from the people that brought you STUXNET

Die israelische Zeitung ha'aretz weiss übrigens bereits noch ein paar mehr Details:
"Flame" sei laut Kaspersky angeblich die hochentwickeltste Cyber-Waffe, die bislang entdeckt wurde. Diesen Titel hatte bisher ja STUXNET inne - kein Zufall, denn laut ha'aretz hat Kaspersky sehr wohl Vermutungen über den "Urheber" geäussert, ohne ihn jedoch explizit beim Namen zu nennen: Nämlich, dass beide Viren vermutlich vom gleichen "Urheber" kommen. Der Virus "Flame" enthält nämlich Code, der 1:1 auch in Stuxnet vorhanden ist, und der sonst aber bislang in keinem anderen Schädling entdeckt wurde. Und da "Flame" ja sogar älter ist als Stuxnet, ist damit klar, dass Flame sich nicht bei Stuxnet "bedient" haben kann, sondern höchstens anders herum.

Auch die Liste der Opfer von "Flame" liest sich bei der israelischen Zeitung ha'aretz übrigens leicht anders: Während die ZEIT von "Unternehmen und Bildungseinrichtungen im Iran, in Israel, in den Palästinensergebieten, im Sudan und in Syrien" spricht, ist dort die Rede von "Iran, the West Bank, Sudan, Syria, Lebanon, Saudi Arabia and Egypt".

http://www.haaretz.com/ne...

Wo ist jetzt das Besondere an dem Ding?

Mit Verlaub - 5000 infizierte Rechner sind nun wirklich gar nix, moderne Viren und Trojaner schaffen nicht selten Infektionen von Millionen von Rechnern. Aus dem Artikel wird auch nicht ersichtlich, was Flame jetzt so gefährlich macht. Das einzige spannende scheint zu sein, dass das Teil schwer zu analysieren ist ob der riesigen Menge Code. Liebe ZEIT, was ist denn nun das tolle an der Geschichte?

Mir fällt mal wieder nichts mehr ein...

Bitte lesen Sie den Artikel noch mal in Ruhe und überdenken Ihren Kommentar noch mal.
Es ist doch nicht so schwer. Ein Virus, der Rechner von Behörden oder Unternehmen, welche evtl. an Uranförderung und -verarbeitung im Iran beteiligt sind, knacken und befallen kann, wird Ihren Rechner zu Hause mit Sicherheit befallen können. Das Ding ist nur, der Virus interessiert sich nicht dafür, was Sie vielleicht mit Ihrer Freundin im Chat besprechen, mag es auch noch so pikant sein ;-)
Die Virus ist nur für derartige Aufgaben ausgelegt und daher auch nicht weit verbreitet, sondern nur da, wo es weh tut (dem Betroffenen zumindest).
Von daher ist diese Entdeckung schon den Artikel hier wert, auch wenn Sie das nicht anerkennen möchten.

Das Besondere ist...

Allerwelts-Trojaner werden normalerweise von Kleinkriminellen mit Profitgedanken entwickelt und sollen ziellos möglichst viele Computer befallen.

Genau wie Stuxnet ist Flame aber kein solcher Allerwelts-Trojaner.

Anders gesagt: Hinter "Flame" stecken, genau wie hinter "Stuxnet", keine finanziellen, solche politische Absichten - und das ist der Grund warum Flame sehr wohl einen Artikel ist.

Wenn man sich die Liste der Länder anschaut, die hauptsächlich von Flame befallen wurden, und sich überlegt, wer wohl ein Motiv haben könnte gerade Computer in diesen Ländern auszuspionieren, kommt man recht schnell auf wahrscheinlichen Urheber und Motiv.

Kleiner Tipp: Heute morgen hat ein Vize-Premierminister, ganz in für sein Land üblicher Manier, indirekt zu verstehen gegeben dass sein Land dahinter steckt, ohne es aber explizit zuzugeben.

http://www.haaretz.com/ne...