Spionage-Software: Forscher entdecken weitere "Flame"-Varianten

Neue Erkenntnisse über das Spionageprogramm "Flame": Virenforscher haben Hinweise auf weitere Varianten der Schadsoftware entdeckt, eine soll immer noch aktiv sein. Die Fachleute konnten einen Kontrollserver des "Flame"-Virus analysieren - ein Fehler der Angreifer half ihnen dabei.

"Flame"-Code (Archiv): Größer und älter als gedacht Zur Großansicht

"Flame"-Code (Archiv): Größer und älter als gedacht

Die Schadsoftware "Flame" wurde im Mai dieses Jahres von der russischen IT-Sicherheitsfirma Kaspersky Lab entdeckt; das Spionageprogramm soll im Nahen Osten massenhaft Rechner befallen haben. Nun haben Kaspersky-Mitarbeiter Kontrollserver identifiziert und untersucht, von denen aus "Flame" und möglicherweise weitere Spionageprogramme gesteuert werden. Eines davon ist vermutlich noch aktiv. Das digitale Arsenal der Schöpfer von "Stuxnet" scheint noch weit größer zu sein als bislang bekannt. Bislang gehören zur Familie "Stuxnet", "Duqu", "Flame" und "Gauss". Doch die Liste wird womöglich noch länger.

Nach Informationen der "Washington Post" wurde "Flame" von den USA und Israel entwickelt. Programme wie "Stuxnet", "Duqu" und "Gauss" stammen mutmaßlich von denselben Schöpfern. Fachleute betrachten sie alle als Teil eines Arsenals zur Cyberkriegsführung und -spionage.

Bei der Untersuchung der "Command & Control"-Server (C&C), von denen aus "Flame" ferngesteuert wurde, fanden die Fachleute Hinweise auf drei bisher nicht bekannte Schadprogramme, die mit "Flame" verwandt sind - mindestens eines davon dürfte noch im Netz aktiv sein. Die Virenforscher hatten sich offenbar aus der Ferne Zugang zu den Steuerservern verschafft.

Kaspersky-Chefanalyst Alexander Gostev spricht von einer schwierigen Aufgabe: "Es war nicht einfach für uns, auf Basis der Analyse der 'Command und Control'-Server den Umfang der von "Flame" gestohlenen Daten einzuschätzen. Die Entwickler von "Flame" sind gut darin, Spuren zu verwischen." Allerdings hätte "ein Fehler der Angreifer" dabei geholfen, "auf einem der Server mehr Daten zu entdecken." Allein auf diesem Server seien innerhalb von einer Woche mehr als fünf Gigabyte Daten angefallen, die von 5000 infizierten Rechnern kamen. Gostev wertet das als Beleg für Cyberspionage in gewaltigem Ausmaß. Insgesamt hat Flame womöglich bis zu 10.000 Rechner befallen.

Die meisten Rechner, die mit Hilfe einer "Flame"-Variante ausspioniert wurden, befanden sich in Iran und im Sudan. Es seien aber auch Rechner in Deutschland mit der Schadsoftware infiziert worden. Auch Duqu und Gauss waren primär im Nahen Osten aktiv, während "Stuxnet" wohl gezielt zur Schädigung des iranischen Atomprogramms entwickelt wurde.

Die Untersuchungen hat Kaspersky Lab gemeinsam mit der Cybersicherheitsabteilung der ITU (International Telecommunication Union), dem Computersicherheitszentrum CERT der Bundesverwaltung, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem IT-Sicherheitsunternehmen Symantec durchgeführt.

Entwicklung schon vor sechs Jahren begonnen

Laut Kaspersky erhalten die C&C-Server ihre Daten von den infizierten Rechnern auf vier verschiedenen Kommunikationswegen. Nur ein Kommunikationsprotokoll wird bislang von "Flame" eingesetzt. Dass es drei weitere Protokolle gibt, die nicht von "Flame" verwendet werden, deutet laut Kaspersky darauf hin, dass wenigstens drei weitere Typen von Schadsoftware existieren. Deren Zweck ist derzeit allerdings noch nicht bekannt. "Stuxnet" und auch der kürzlich erst beschriebene Trojaner "Gauss" würden aber nicht von den "Flame"-C&C-Servern aus gesteuert.

Von den mutmaßlich existierenden weiteren "Flame"-Varianten ist den Experten zufolge ein unbekannter Schadsoftware-Typ noch im Netz aktiv. Es gebe sogar Anzeichen dafür, dass "Flame" auch heute noch weiterentwickelt wird. So wurde ein neues Protokoll noch nicht vollständig eingerichtet, die letzte Änderung des Server-Codes wurde erst im Mai 2012 von einem der Programmierer durchgeführt.

Außerdem ist die Schadsoftware, die vermutlich von einem staatlichen Dienst entwickelte wurde, wohl auch älter als bisher angenommen. Laut Kaspersky hat die Entwicklung schon im Dezember 2006 begonnen.

Die Cyberspionage-Plattform "Flame" wurde ursprünglich im Mai 2012 während einer Untersuchung für die ITU von Kaspersky Lab aufgedeckt. Daraufhin hatte die ITU ihre 144 Mitgliedstaaten alarmiert und Empfehlungen zur Abwehr gegeben. Da der Code von "Flame" als sehr komplex gilt und Verbindungen zu den Entwicklern von "Stuxnet" nachgewiesen werden konnten, wird "Flame" als Teil einer Cyberkriegsstrategie betrachtet, die von staatlicher Seite betrieben wird.

Bei der Untersuchung einer der Server stießen die Kaspersky-Experten auf Kommentare von Entwicklern und die Spitznamen von vier Personen. Deren Identifizierung sei Teil noch andauernder Untersuchungen zusammen mit behördlichen Ermittlern, sagte Vitaly Kamluk.

juh/cis/dpa

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 13 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. So ist das
tbax 17.09.2012
Wie war das: Der Westen mit seiner überlegenen Kultur. *grübel*
2. optional
LeisureSuitLenny 17.09.2012
Zitat von sysopNeue Erkenntnisse über das Spionage-Programm Flame: Virenforscher haben Hinweise auf weitere Varianten der Schadsoftware entdeckt, eine soll immer noch aktiv sein. Die Fachleute konnten einen Kontrollserver des Flame-Virus analysieren - ein Fehler der Angreifer half ihnen dabei.
Was sagt man eigentlich zu den Ländern, die diese Cyberterror-Software in Umlauf bringen? Verteidigen die sich nur mal wieder, gegen die ganze Welt?
3. Ist dieses Zeug nur unter Windows aktiv?
winfired 17.09.2012
Man hört so wenig über echte Gegenmaßnahmen, der Iran sollte doch auf dem Gebiet nun ein Spezialist sein?
4. Ja, überlegen
Herr B 17.09.2012
Zitat von tbaxWie war das: Der Westen mit seiner überlegenen Kultur. *grübel*
Was gibt es da zu überlegen. Wir, der Westen, bekämpfen autoritäre Regime ohne Gewalt, ohne Bomben, ohne Auftragsmorde und ohne Selbstmörder. Das Völkerrecht kennt keinen Cyberkonflikt, also werden da auch keine Gesetze gebrochen. Sieht mir ergo ganz so aus, als seien wir solchen Unrechtsregimen meilenweit überlegen. Und wenn sie nun die Demokratie des Westens in Frage Stellen, sollten sie einfach mal nach Venezuela, oder wovon Linke auch immer gerade schwärmen, gehen, und dort eine Zeitung veröffentlichen. Ich wünsche ihnen da viel Spaß in der Leerstunde Presse- und Wirtschaftsfreiheit.
5.
Klopsdrops 17.09.2012
Zitat von winfiredMan hört so wenig über echte Gegenmaßnahmen, der Iran sollte doch auf dem Gebiet nun ein Spezialist sein?
Wieso Spezialist? Der Iran hat ja noch nicht mal gewusst oder gemerkt, dass schon seit Jahren seine Rechner befallen sind, bevor nicht andere den Virus entdeckt haben.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Computerviren
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 13 Kommentare
  • Zur Startseite

Anzeige
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.