SPIEGEL ONLINE

SPIEGEL ONLINE

11. Juni 2012, 18:49 Uhr

Spionagevirus

Virenforscher halten Flame für Stuxnet-Cousin

Virenforschern zufolge enthält der Spionagevirus Flame eine Komponente, die auch in Stuxnet zum Einsatz kam. Damit wären die beiden verwandt, auch Flame stammt wohl aus den USA oder Israel. Der Virus hatte vor allem Rechner im Nahen Osten befallen.

Hamburg - Beim russischen Hersteller von Antivirensoftware Kaspersky Lab ist man sicher: Zwischen dem Spionagevirus Flame und den Viren Stuxnet und Duqu bestehen verwandtschaftliche Beziehungen. Bei der Analyse des Flame-Softwarecodes wollen Kaspersky-Forscher ein Modul entdeckt haben, das in sehr ähnlicher Form auch in einer Stuxnet-Version von 2009 auftauchte. Wenn die Virenforscher recht haben, dann dürfte auch Flame den USA, Israel oder einer Koproduktion von Geheimdiensten beider Länder entstammen. Flame ist ein Spionagevirus, Stuxnet zerstörte in Iran vermutlich an die tausend Uranzentrifugen.

Das Modul, das Kaspersky Lab nachgewiesen haben will, sei als "Resource 207" bekannt. Es soll sich dabei um eines der Module handeln, mit denen man Flame für verschiedene Aufgaben aufrüsten kann - der Virus ist ein Multifunktionswerkzeug. Das Modul sei dafür verantwortlich gewesen, den Virus über USB-Sticks zu verbreiten. Der Softwarecode für diesen Verbreitungsweg sei in Flame und Stuxnet "vollständig identisch". Im Jahr 2010 sei dieses Modul dann aus neueren Stuxnet-Varianten entfernt und durch mehrere andere Module ersetzt worden, die neue, bis dahin unbekannte Sicherheitslücken in Microsoft-Software ausnutzten.

Kaspersky spekuliert, ab 2010 hätten die Entwicklerteams für Stuxnet und Flame offenbar unabhängig voneinander gearbeitet und nur noch Erkenntnisse über Sicherheitslücken ausgetauscht. Die Ähnlichkeiten zwischen Stuxnet und dem besagten Flame-Modul legten jedoch nahe, dass die Teams "Quellcode ausgetauscht haben".

Ein Schnüffler und ein Saboteur

Flame und Stuxnet hatten sehr unterschiedliche Funktionen: Der Stuxnet-Virus war augenscheinlich mit großem Aufwand speziell entwickelt worden, um über USB-Sticks in die Atomanlage Natans in Iran eingeschleppt zu werden, sich dort über das Netzwerk zu verbreiten und schließlich unbemerkt Zentrifugen zur Urananreicherung zu beschädigen. Flame dagegen war ein komplexes Spionagewerkzeug, das beispielsweise das Mitschneiden von Tastatureingaben, das Anfertigen von Bildschirmfotos und die Benutzung des Rechnermikrofons als Umgebungswanze erlaubte. Kaspersky-Forscher Alexander Gostev kommentierte in einer Mitteilung: "Die Projekte waren tatsächlich getrennt und voneinander unabhängig. Die neuen Erkenntnisse zeigen jedoch, wie die Teams in den frühen Entwicklungsphasen mindestens für ein Modul Quellcode austauschten." Die Gruppen hätten also "mindestens einmal kooperiert".

Der SPIEGEL hatte schon im vergangenen Sommer berichtet, dass Stuxnet wohl vom israelischen Geheimdienst entwickelt worden war. Vor wenigen Tagen veröffentlichte der "New York Times"-Journalist David Sanger dann ein Buch, in dem er die Entstehungsgeschichte von Stuxnet detailliert nachzeichnet und die Hauptinitiative für den Cyberangriff auf Irans Atomprogramm den USA zuschreibt. Präsident Obama habe selbst den Befehl gegeben, das geheime, in Kooperation mit Israel durchgeführte Programm mit dem Codenamen "Olympic Games" zu beschleunigen, nachdem Stuxnet von Antiviren-Fachleuten in freier Wildbahn aufgespürt worden war.

Flame wurde vor allem auf Rechnern im Nahen Osten, insbesondere in Iran, entdeckt. Von Anfang an hatte dies Spekulationen genährt, der Virus könne ebenfalls aus Israel oder den USA stammen und zur Spionage gegen Iran und andere Staaten eingesetzt worden sein.

Inzwischen hat Flame den Dienst quittiert: Erst vor wenigen Tagen wurden von einem Kontrollserver dem IT-Sicherheitsunternehmen Symantec zufolge Selbstmordbefehle an Flame-Installationen verschickt, die dafür sorgen sollen, dass sich der Schadcode selbst vollständig von den befallenen Rechnern löscht.

cis

URL:

Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH