InternetsicherheitTrojaner Flame infiltriert Rechner im Nahen Osten

Anti-Viren-Experten haben einen Computerschädling analysiert, der wohl mit Stuxnet in Verbindung steht: Flame soll im Nahen Osten seit Jahren heikle Daten sammeln. von reuters

Ausschnitt aus dem Code von Flame

Ausschnitt aus dem Code von Flame  |  © Screenshot ZEIT ONLINE

Analysten für IT-Sicherheit haben einen neuen Computerwurm entdeckt. Die Flame getaufte Schadsoftware habe Tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte das auf Anti-Viren-Programme spezialisierte Kaspersky Lab mit. 

Flame ist ein sogenannter Trojaner, ein Programm also, dass sich tarnt und dank der Fahrlässigkeit eines Nutzers in ein System einschleust. Es kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chat-Konversationen aufzeichnen. Außerdem enthält das Programm demnach eine Nachladefunktion, um weitere Programme auf dem befallenen Rechner einschleusen zu können.

Anzeige

Ersten Analysen zufolge dient Flame dazu, Daten zu entwenden und Nutzer der Systeme auszuspähen. Physischer Schaden sei von dem Virus nicht zu erwarten. Die Analysten zeigten sich aber beeindruckt von den vielen Wegen, auf denen Flame Daten sammelt. So belauscht es beispielsweise via Bluetooth Geräte in der Umgebung des befallenen Rechners, wenn es eine offene Bluetooth-Verbindung findet. Und die Bildschirmfotos, die es macht, weden nicht zufällig angefertigt, sondern vor allem, wenn bestimmte Anwendungen laufen, die Flame interessieren.

Verbindung zu Stuxnet

Die Experten von Kaspersky stehen bei der Entschlüsselung des Programms nach eigenen Angaben noch am Anfang. Flame habe 20-mal mehr Codes als Stuxnet, mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Sind alle Programmteile auf dem befallenen Rechner geladen, ist der Schädling 20 Megabyte groß.

Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, Flame habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben kürzlich für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. Sollten sich die Angaben bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyberwaffe , die im großen Stil verbreitet wurde.

Flame hat allerdings ein anderes Ziel als Stuxnet und sein Code sei offensichtlich von anderen Programmierern geschrieben worden, schreibt ein Kaspersky-Analyst in einem Blog . Trotzdem glaubt er an eine Verbindung zu Stuxnet. Denn Flame ähnele in vielen Punkten Stuxnet und Duqu. Da sei nicht nur die regionale Verteilung des Angriffes, die der von Stuxnet ähnele. Das Programm sei auch sehr hoch entwickelt und könnte "problemlos als eine der komplexesten Bedrohungen beschrieben werden, die bislang entdeckt wurden".

Bis zu 5.000 Computer betroffen

Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen. Laut einer von Kaspersky erstellten Karte hat Flame dabei in den vergangen zwei Jahren Systeme in den folgenden Ländern befallen: Iran , Libonon, Syrien , Sudan , Ägypten , palästinensische Gebiete und Saudi-Arabien .

Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Jedoch deutete das Unternehmen an, der Auftraggeber der Software könne derselbe sein wie bei Stuxnet.

Gefunden wurde das Programm nicht von Kaspersky selbst. Die International Telecommunications Union, eine Agentur der Vereinten Nationen, hatte es entdeckt und Kaspersky um Hilfe bei der Analyse gebeten.

Der 2010 entdeckte Stuxnet war für Industrieprogramme entwickelt worden damals ein Novum. Er hatte vor allem Industrieanlagen wie Kraftwerke oder Chemiefabriken, auch in Deutschland, befallen. Betroffen waren auch Kunden, die das Siemens-Steuerungssystem Simatic einsetzten. Allerdings hat Siemens zufolge keines der Unternehmen einen konkreten Schaden dadurch erlitten.

Zur Startseite
 
Leserkommentare
  1. Hat Windows 7 nicht von der NSA eine Zertifizierung bekommen oder so etwas? *g*

    Antwort auf "Windows"
  2. Technische Systeme sind seit einiger Zeit so komplex, dass Hardwarehersteller auf ihre eigenen Betriebssysteme verzichtet haben und für eine weltweit verfügbare, zertifizierte Basis im jeweiligen Bereich programmieren. Heute ist Windows DAS zertifizierte System, Konkurrenten im industriellen Umfeld von Mess- und Regeltechnik führen ein Nischendasein. In der Industrie- und Anlagensteuerung ist der Verzicht auf Windows unrealistisch. Die Software, die die Steuercomputer (im Beispiel wird die Simatic SPS genannt) anspricht, wird meist nur für Windows angeboten. Das hat historische Gründe, Steuerungen und messtechnische Anwendungen kommen traditionell von DOS, Standardsoftware zur Messtechnik ebenfalls. Andere Bereiche sind historisch anders aufgestellt. In der Biologie gibt es einige Fachbereiche mit Apple-Vorherrschaft, in anderen Bereichen sind traditionell Unixe stark (nicht nur in Rechenzentren).

    Reaktionen auf diesen Kommentar anzeigen

    ...bei naiver Betrachtungsweise würde ich annehmen, dass ein Maschinensteuerungssystem entweder (die guten alten Z80-basierten Systeme) einfach genug ist, um über ein vergleichsweise simples und damit portables Programm am Arbeitsplatzrechner gesteuert zu werden, oder aber umfassend genug, dass es keine Schwierigkeiten bereiten sollte, basierend z.B. auf SQLite, einem FOSS-Webserver und, ja, meinetwegen Lua eine über einen Webserver bedienbare Nutzeroberfläche zu inkorporieren -- eine Kombination des Gesagten mit RTOS ergibt zusammen keine 3 MB Code (ARM), das ist heute ein Klacks. Oder irre ich mich da?

    Ansonsten am besten einfach Windows in die virtuelle Maschine sperren -- meines läuft auf OpenBSD...

    Aber das größere Problem dürften unbewachte USB-Anschlüsse und die Ich-kopier-mal-schnell-was-Arbeitnehmer sein.

  3. ...bei naiver Betrachtungsweise würde ich annehmen, dass ein Maschinensteuerungssystem entweder (die guten alten Z80-basierten Systeme) einfach genug ist, um über ein vergleichsweise simples und damit portables Programm am Arbeitsplatzrechner gesteuert zu werden, oder aber umfassend genug, dass es keine Schwierigkeiten bereiten sollte, basierend z.B. auf SQLite, einem FOSS-Webserver und, ja, meinetwegen Lua eine über einen Webserver bedienbare Nutzeroberfläche zu inkorporieren -- eine Kombination des Gesagten mit RTOS ergibt zusammen keine 3 MB Code (ARM), das ist heute ein Klacks. Oder irre ich mich da?

    Ansonsten am besten einfach Windows in die virtuelle Maschine sperren -- meines läuft auf OpenBSD...

    Aber das größere Problem dürften unbewachte USB-Anschlüsse und die Ich-kopier-mal-schnell-was-Arbeitnehmer sein.

    Antwort auf "Kein Windows?"
    Reaktionen auf diesen Kommentar anzeigen

    Hi Phyllohopla bambola, wenn ich lese, was Sie schreiben, sind wir wahrscheinlich auf dem gleichen Stand. Manche Sachen kriegt man gut auf einen Waschmaschinenprozessor, anderes, ich denke da an Gebäudeautomatisierung, das Auto, Videodekodierung, sind autonom ganz gut und mit nicht allzu viel kB/MB in einem kleinen Echtzeitbetriebssystem zu machen, der Airbus flog mit Motorola Dragonballs und inzwischen, glaube ich, mit ARM6. Die Welt ist aber bunt. In manchen Bereichen muss der Mensch das letzte Wort haben, manchmal hat man Unikate (jedes Kraftwerk ist einmalig), und vielfach hat man z.B. eine Matlab/Simulink-Geschichte dabei (und fängt sich ein ausgewachsenes Betriebssystem und Java ein). Auch müssen die Regler überwacht und der Workflow für das Fahren längerer Prozessketten gemanagt werden, wofür alles besser Universal-Betriebssysteme mit Menschen vor großen Monitoren eingesetzt werden ;-) Und es kommt eben dazu, dass die Steuerungshersteller (so viele gibt es weltweit nicht) mit ihrem Produkt, dem Steuerrechner mit Sensoren aus einer Hand, alles von der Schnapsdestille über das Kraftwerk bis zur Maschinensteuerung im Bergbau abdecken wollen, und wenn die dann eine gemeinsame zertifizierte Basis für all diese Software haben, sind sie ganz froh und entwickeln keinen Ehrgeiz in andere Richtungen. Das spart einfach Kosten bei der Zulassung in verschiedenen Ländern mit verschiedenen Sicherheitsstandards. Wenn der TÜV/die FCC/... jeden Rechner einzeln abnehmen müssten -

  4. Hi Phyllohopla bambola, wenn ich lese, was Sie schreiben, sind wir wahrscheinlich auf dem gleichen Stand. Manche Sachen kriegt man gut auf einen Waschmaschinenprozessor, anderes, ich denke da an Gebäudeautomatisierung, das Auto, Videodekodierung, sind autonom ganz gut und mit nicht allzu viel kB/MB in einem kleinen Echtzeitbetriebssystem zu machen, der Airbus flog mit Motorola Dragonballs und inzwischen, glaube ich, mit ARM6. Die Welt ist aber bunt. In manchen Bereichen muss der Mensch das letzte Wort haben, manchmal hat man Unikate (jedes Kraftwerk ist einmalig), und vielfach hat man z.B. eine Matlab/Simulink-Geschichte dabei (und fängt sich ein ausgewachsenes Betriebssystem und Java ein). Auch müssen die Regler überwacht und der Workflow für das Fahren längerer Prozessketten gemanagt werden, wofür alles besser Universal-Betriebssysteme mit Menschen vor großen Monitoren eingesetzt werden ;-) Und es kommt eben dazu, dass die Steuerungshersteller (so viele gibt es weltweit nicht) mit ihrem Produkt, dem Steuerrechner mit Sensoren aus einer Hand, alles von der Schnapsdestille über das Kraftwerk bis zur Maschinensteuerung im Bergbau abdecken wollen, und wenn die dann eine gemeinsame zertifizierte Basis für all diese Software haben, sind sie ganz froh und entwickeln keinen Ehrgeiz in andere Richtungen. Das spart einfach Kosten bei der Zulassung in verschiedenen Ländern mit verschiedenen Sicherheitsstandards. Wenn der TÜV/die FCC/... jeden Rechner einzeln abnehmen müssten -

  5. Allerwelts-Trojaner werden normalerweise von Kleinkriminellen mit Profitgedanken entwickelt und sollen ziellos möglichst viele Computer befallen.

    Genau wie Stuxnet ist Flame aber kein solcher Allerwelts-Trojaner.

    Anders gesagt: Hinter "Flame" stecken, genau wie hinter "Stuxnet", keine finanziellen, solche politische Absichten - und das ist der Grund warum Flame sehr wohl einen Artikel ist.

    Wenn man sich die Liste der Länder anschaut, die hauptsächlich von Flame befallen wurden, und sich überlegt, wer wohl ein Motiv haben könnte gerade Computer in diesen Ländern auszuspionieren, kommt man recht schnell auf wahrscheinlichen Urheber und Motiv.

    Kleiner Tipp: Heute morgen hat ein Vize-Premierminister, ganz in für sein Land üblicher Manier, indirekt zu verstehen gegeben dass sein Land dahinter steckt, ohne es aber explizit zuzugeben.

    http://www.haaretz.com/ne...

  6. "Flame" lädt illegal (vermutlich z.T. urheberrechtlich geschützte) Daten herunter. Die betroffenen Länder sollten sich daher an einen der vielen Abmahnanwälte wenden, um mit Hilfe von Massenabmahnungen ihr geistiges Eigentum zu schützen.

    Andernfalls könnte ja bei der Bevölkerung der Eindruck entstehen dass geistiges Eigentum heutzutage keinen Wert mehr besitzt, und sich jeder einfach Pläne zur Urananreicherung oder militärische Taktiken aus dem Internet herunterlädt anstatt sie selbst zu entwickeln. Zugegeben, hier geht es zwar nicht um so etwas wichtiges wie Filme und Musiktitel, aber irgendwo muss ja mal ein Anfang gemacht werden.

    Ich wüsste da auch schon die richtige Kanzlei...

    - lock and load

  7. die spannendere Frage ist: Wohin sendet Flame? Kein Wort dazu?

  8. Also,
    die international kritisierte,
    die Welt spaltende,
    die Atomkrieg auslösende,
    die Völker vernichtende,
    iranische Atomanlage ist von Siemens und läuft über Windows?

    HA!

    MY LIFE IS A FUCKIN TRUMANSHOW !!!!

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE, Reuters
  • Schlagworte Datensicherheit | Siemens AG | Blog | Bluetooth | IT-Sicherheit | Schädling
Service