InternetsicherheitTrojaner Flame infiltriert Rechner im Nahen Osten

Anti-Viren-Experten haben einen Computerschädling analysiert, der wohl mit Stuxnet in Verbindung steht: Flame soll im Nahen Osten seit Jahren heikle Daten sammeln. von reuters

Ausschnitt aus dem Code von Flame

Ausschnitt aus dem Code von Flame  |  © Screenshot ZEIT ONLINE

Analysten für IT-Sicherheit haben einen neuen Computerwurm entdeckt. Die Flame getaufte Schadsoftware habe Tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte das auf Anti-Viren-Programme spezialisierte Kaspersky Lab mit. 

Flame ist ein sogenannter Trojaner, ein Programm also, dass sich tarnt und dank der Fahrlässigkeit eines Nutzers in ein System einschleust. Es kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chat-Konversationen aufzeichnen. Außerdem enthält das Programm demnach eine Nachladefunktion, um weitere Programme auf dem befallenen Rechner einschleusen zu können.

Anzeige

Ersten Analysen zufolge dient Flame dazu, Daten zu entwenden und Nutzer der Systeme auszuspähen. Physischer Schaden sei von dem Virus nicht zu erwarten. Die Analysten zeigten sich aber beeindruckt von den vielen Wegen, auf denen Flame Daten sammelt. So belauscht es beispielsweise via Bluetooth Geräte in der Umgebung des befallenen Rechners, wenn es eine offene Bluetooth-Verbindung findet. Und die Bildschirmfotos, die es macht, weden nicht zufällig angefertigt, sondern vor allem, wenn bestimmte Anwendungen laufen, die Flame interessieren.

Verbindung zu Stuxnet

Die Experten von Kaspersky stehen bei der Entschlüsselung des Programms nach eigenen Angaben noch am Anfang. Flame habe 20-mal mehr Codes als Stuxnet, mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Sind alle Programmteile auf dem befallenen Rechner geladen, ist der Schädling 20 Megabyte groß.

Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, Flame habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben kürzlich für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. Sollten sich die Angaben bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyberwaffe , die im großen Stil verbreitet wurde.

Flame hat allerdings ein anderes Ziel als Stuxnet und sein Code sei offensichtlich von anderen Programmierern geschrieben worden, schreibt ein Kaspersky-Analyst in einem Blog . Trotzdem glaubt er an eine Verbindung zu Stuxnet. Denn Flame ähnele in vielen Punkten Stuxnet und Duqu. Da sei nicht nur die regionale Verteilung des Angriffes, die der von Stuxnet ähnele. Das Programm sei auch sehr hoch entwickelt und könnte "problemlos als eine der komplexesten Bedrohungen beschrieben werden, die bislang entdeckt wurden".

Bis zu 5.000 Computer betroffen

Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen. Laut einer von Kaspersky erstellten Karte hat Flame dabei in den vergangen zwei Jahren Systeme in den folgenden Ländern befallen: Iran , Libonon, Syrien , Sudan , Ägypten , palästinensische Gebiete und Saudi-Arabien .

Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Jedoch deutete das Unternehmen an, der Auftraggeber der Software könne derselbe sein wie bei Stuxnet.

Gefunden wurde das Programm nicht von Kaspersky selbst. Die International Telecommunications Union, eine Agentur der Vereinten Nationen, hatte es entdeckt und Kaspersky um Hilfe bei der Analyse gebeten.

Der 2010 entdeckte Stuxnet war für Industrieprogramme entwickelt worden damals ein Novum. Er hatte vor allem Industrieanlagen wie Kraftwerke oder Chemiefabriken, auch in Deutschland, befallen. Betroffen waren auch Kunden, die das Siemens-Steuerungssystem Simatic einsetzten. Allerdings hat Siemens zufolge keines der Unternehmen einen konkreten Schaden dadurch erlitten.

Zur Startseite
 
Leserkommentare
  1. Wenn dieser Virus erst jetzt entdeckt wurde, dann ist doch schon laengst die ein oder andere neuere Generation seit ein oder zwei Jahren unentdeckt unterwegs.

    Reaktionen auf diesen Kommentar anzeigen

    "Wenn dieser Virus erst jetzt entdeckt wurde, dann ist doch schon laengst die ein oder andere neuere Generation seit ein oder zwei Jahren unentdeckt unterwegs."

    Und Zitat von Herr Vorragend (toller Name!)
    "Und da "Flame" ja sogar älter ist als Stuxnet, ist damit klar, dass Flame sich nicht bei Stuxnet "bedient" haben kann, sondern höchstens anders herum."

    Für beides gilt: Möglich, aber nicht unbedingt!
    Das Besondere an Flame ist sein modularer Aufbau. Angefangen hat der Virus als kleine Version, die sich durch immer neues Runterladen weiterer Code-Schnipsel immer weiter vergrößert. Das bedeutet, dass er sehr wohl Code-Teile anderer, auch Fremdviren nun in sich tragen kann und andererseits, dass er sich auch in Zukunft immer weiter anpassen werden kann.

    Kurios ist auch, dass er durch seine modulare Bauweise sogar ein Stück weit vor Entdeckung geschützt war einfach aufgrund seiner schieren Größe, die er über die Jahre erlangte. Der schon sehr komplexe Daqu-Virus ist mit 500kb sehr groß. Von Flame fand man Versionen mit irren 20mb und einzelnen Modulen allein mit bis zu 6mb.

    Im Übrigen wird davon ausgegangen, dass Flame, Stuxnet und Daqu nicht vom gleichen Urheber hergestellt, sondern in Auftrag gegeben wurde von drei verschiedenen Teams. Mindestens drei Versionen also, alle für das gleiche Ziel. Das wäre auch typisch für die Sicherstellung einer militärischen Operation und schließt (auch finanziell) mehr als alles andere eine nicht-staatliche Beteiligung aus

    • APGKFT
    • 29. Mai 2012 7:56 Uhr

    Die Schweizer waren es nicht. Soll unser Bundespräsident eventuell ein bischen Du, du machen?

    • Pyr
    • 29. Mai 2012 8:42 Uhr

    Mit Verlaub - 5000 infizierte Rechner sind nun wirklich gar nix, moderne Viren und Trojaner schaffen nicht selten Infektionen von Millionen von Rechnern. Aus dem Artikel wird auch nicht ersichtlich, was Flame jetzt so gefährlich macht. Das einzige spannende scheint zu sein, dass das Teil schwer zu analysieren ist ob der riesigen Menge Code. Liebe ZEIT, was ist denn nun das tolle an der Geschichte?

    Reaktionen auf diesen Kommentar anzeigen

    Bitte lesen Sie den Artikel noch mal in Ruhe und überdenken Ihren Kommentar noch mal.
    Es ist doch nicht so schwer. Ein Virus, der Rechner von Behörden oder Unternehmen, welche evtl. an Uranförderung und -verarbeitung im Iran beteiligt sind, knacken und befallen kann, wird Ihren Rechner zu Hause mit Sicherheit befallen können. Das Ding ist nur, der Virus interessiert sich nicht dafür, was Sie vielleicht mit Ihrer Freundin im Chat besprechen, mag es auch noch so pikant sein ;-)
    Die Virus ist nur für derartige Aufgaben ausgelegt und daher auch nicht weit verbreitet, sondern nur da, wo es weh tut (dem Betroffenen zumindest).
    Von daher ist diese Entdeckung schon den Artikel hier wert, auch wenn Sie das nicht anerkennen möchten.

    Allerwelts-Trojaner werden normalerweise von Kleinkriminellen mit Profitgedanken entwickelt und sollen ziellos möglichst viele Computer befallen.

    Genau wie Stuxnet ist Flame aber kein solcher Allerwelts-Trojaner.

    Anders gesagt: Hinter "Flame" stecken, genau wie hinter "Stuxnet", keine finanziellen, solche politische Absichten - und das ist der Grund warum Flame sehr wohl einen Artikel ist.

    Wenn man sich die Liste der Länder anschaut, die hauptsächlich von Flame befallen wurden, und sich überlegt, wer wohl ein Motiv haben könnte gerade Computer in diesen Ländern auszuspionieren, kommt man recht schnell auf wahrscheinlichen Urheber und Motiv.

    Kleiner Tipp: Heute morgen hat ein Vize-Premierminister, ganz in für sein Land üblicher Manier, indirekt zu verstehen gegeben dass sein Land dahinter steckt, ohne es aber explizit zuzugeben.

    http://www.haaretz.com/ne...

  2. Bitte lesen Sie den Artikel noch mal in Ruhe und überdenken Ihren Kommentar noch mal.
    Es ist doch nicht so schwer. Ein Virus, der Rechner von Behörden oder Unternehmen, welche evtl. an Uranförderung und -verarbeitung im Iran beteiligt sind, knacken und befallen kann, wird Ihren Rechner zu Hause mit Sicherheit befallen können. Das Ding ist nur, der Virus interessiert sich nicht dafür, was Sie vielleicht mit Ihrer Freundin im Chat besprechen, mag es auch noch so pikant sein ;-)
    Die Virus ist nur für derartige Aufgaben ausgelegt und daher auch nicht weit verbreitet, sondern nur da, wo es weh tut (dem Betroffenen zumindest).
    Von daher ist diese Entdeckung schon den Artikel hier wert, auch wenn Sie das nicht anerkennen möchten.

  3. Wie wäre es mit Ehrlichkeit im Netz?
    und Firmengeheimnisse nur auf Computer ohne Internetzugang speichern

    Reaktionen auf diesen Kommentar anzeigen

    Auch hier wieder völliges Unverständnis meinerseits für einen derart weltfremden Kommentar.
    1. Ein neues teureres Schutzprogramm? Wenn Sie persönlich ein Unternehmen sind, welches sich mit Urananreicherung im Auftrag der iranischen Regierung beschäftigt vielleicht, für jegliche Privatpersonen ist dieser Virus vollkommen irrelevant (sollte er zumindest sein)
    2. Betriebsgeheimnisse nur noch auf Rechnern ohne Internetzugang??? Wie realitätsfern ist das denn bitte?! In einem weltweit agierenden Konzern hab ich dann nur einen lokalen Rechner auf dem die Daten sind und lass dann alle Betroffenen regelmäßig einfliegen um sich die aktualisierten Daten auf ihren USB-Stick ziehen zu können, oder was? Und jetzt kommen Sie mir bloß nicht damit, dass dieses Ding namens "Globalisierung" ja auch eigentlich gar nicht Not tut...
    Mal allgemein: Liest hier eigentlich irgendwer mehr als die ersten drei Zeilen des Artikels? Wenn man manche Kommentare so liest, könnte man den Eindruck gewinnen, dass dies nicht der Fall ist.

  4. im "Paket" zusammen mit Stuxnet und Duqu entwickelt
    worden zu sein.
    Seine Aufgabe liegt primär in einer umfassenden
    Überwachung von Einzelpersonen und Netzwerken.
    Aktivisten, Politiker, sie scheinen im Fokus
    dieser Art der Spionage zu liegen.
    Flame übermittelt auch "Audio" an den "Absender"...

    http://www.richardsilvers...

    Reaktionen auf diesen Kommentar anzeigen

    "Unlike Stuxnet which was designed to sabotage Iran’s centrifuge network, Flame is not a single-focus malware:

    …The creators of Flame are simply looking for any kind of intelligence – e-mails, documents, messages, discussions inside sensitive locations, pretty much everything. We have not seen any specific signs indicating a particular target such as the energy industry – making us believe it’s a complete attack toolkit designed for general cyber-espionage purposes.

    However, Flame can do some of the things that Stuxnet did, so it could also be adapted for such specific uses in the event it found a convenient target. Also, unlike Stuxnet which was designed to sabotage Iran’s nuclear program, the current worm targets individuals and organizations more than state entities:

    There doesn’t seem to be any visible pattern re the kind of organizations targeted by Flame. Victims range from individuals to certain state-related organizations or educational institutions.

    Flame uses at least 80 different servers and domain names to relay its data back home, so it is extremely difficult to track usage and where the information is transferred.

    Kapersky notes that Flame may’ve been a companion project to Stuxnet and Duqu that was different enough from them that if the latter two were discovered, Flame could continue operating undetected." Quote

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, Reuters
  • Schlagworte Datensicherheit | Siemens AG | Blog | Bluetooth | IT-Sicherheit | Schädling
Service