Cyberwaffe: Forscher entdecken neue Flame-Variante

Die Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig - ein "Präzisionswerkzeug".

Flame-Softwarecode: Neuer Verwandter ist kleiner und stärker spezialisiert Zur Großansicht
dapd

Flame-Softwarecode: Neuer Verwandter ist kleiner und stärker spezialisiert

Hamburg - Die Forscher nennen den neuen Virus miniFlame, in Anlehnung an die bekannte Spionagesoftware Flame, die Kaspersky Lab bereits im Mai 2012 der Öffentlichkeit präsentierte. Während Flame jedoch ein ziemlicher Brocken ist, ein für einen Computervirus erstaunlich großes Stück Software mit einer Vielzahl potentieller Funktionen, sei miniFlame ein "hochpräzises, chirurgisches Angriffswerkzeug", so die Fachleute der russischen IT-Sicherheitsfirma.

Er habe nur einige Dutzend Rechner befallen, vor allem im Libanon und in Iran. Betroffen sind demnach jedoch auch Computer in Frankreich und den USA. Auch Katar und Kuwait stehen auf der Liste - für einzelne Staaten scheinen sogar spezielle Varianten des Virus zu existieren.

Die Software sei ein "kleines, funktionales Spionagemodul, das für Datendiebstahl und direkten Zugang zu dem infizierten System gestaltet wurde", so die Forscher in einem Blog-Eintrag. Es basiere auf der gleichen Softwareplattform wie der ungleich größere Flame-Virus.

Während Flame Schätzungen zufolge 5000 bis 6000 Rechner befallen haben soll, ist miniFlame nur auf 50 bis 60 Computern installiert, glauben die Forscher. Nach Stuxnet, Flame, Gauss und Duqu wäre miniFlame das fünfte Mitglied einer ganzen Familie von Cyberwaffen, die alle aus der gleichen "Fabrik" zu stammen scheinen, wie Kaspersky das ausdrückt. Die Virenfamilie gilt als erstes Beispiel für extrem aufwendige, von Nationalstaaten organisierte Cyber-Spionage und -Sabotage. Es gilt als wahrscheinlich, dass die USA und Israel hinter den Operationen stecken.

miniFlame als Nachhut?

Die Software könne beispielsweise benutzt werden, um Screenshots vom befallenen Rechner anzufertigen, Daten weiterzuleiten oder weitere Software dort zu installieren. Diese Art von direkter Einflussnahme auf die befallenen Rechner hätten weder Flame noch Gauss geboten, so die Forscher. Die Entwickler der Spionagesoftware selbst hätten miniFlame zwei unterschiedliche Namen gegeben, nämlich "John" und "SPE", so Kaspersky Lab.

Die Virenforscher vermuten, dass nur Rechner befallen worden sind, die bereits zuvor mit Flame oder dem Bankentrojaner Gauss infiziert wurden: Das Schadprogramm sei sowohl als Teil von Flame als auch als Teil von Gauss aufgetaucht und teile seine Kommando- und Kontrollserver (C&C) mit Flame. Die Kaspersky-Forscher vermuten, dass es von diesen C&C-Servern aus auf die befallenen Rechner geschmuggelt wurde. Flame und Gauss könnten die Daten geliefert haben, auf deren Basis anschließend die Ziele für miniFlame ausgewählt wurden.

Flame konnte danach von den betroffenen Rechnern gelöscht werden - der Löschbefehl aber hätte miniFlame unberührt gelassen. Der neue, kleinere Virus hätte den Rechner anschließend sogar gegen erneuten Flame-Befall immunisiert. Die Kaspersky-Forscher vermuten, dass für miniFlame auch eigene, bislang unentdeckte Kontrollserver existieren.

Enttarnt wurde miniFlame nur, weil Kaspersky sich Zugriff auf zwei Flame-C&C-Server verschafft hatte. Bei der Überwachung des Datenverkehrs von und zu diesen Servern sei man auf die mit miniFlame infizierten Computer gestoßen. Insgesamt habe man sechs Varianten des neuen Virus gefunden, so Kaspersky, die zwischen dem 1. Oktober 2010 und dem 1. September 2011 erstellt wurden. Besonders weit verbreitet sei eine Version von Juli 2011.

Bei Kaspersky ist man überzeugt, dass man noch mehr Mitglieder der Virenfamilie um Stuxnet und Flame finden wird. "Wir haben vermutlich nur die Oberfläche der massiven Cyber-Spionage-Operationen angekratzt, die im Nahen Osten im Gange sind", heißt es im Bericht über miniFlame.

cis

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. ...
JDR 15.10.2012
Zitat von sysopdapdDie Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig - ein "Präzisionswerkzeug". http://www.spiegel.de/netzwelt/netzpolitik/miniflame-kaspersky-meldet-neuen-spionagevirus-a-861436.html
Ärgerlich so etwas. Gibt es keine Sanktionen, die es verbieten, in Iran Antiviren-Hilfe zu leisten ? ;)
2. Rom brennt!
torquemada 15.10.2012
Zitat von sysopdapdDie Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig - ein "Präzisionswerkzeug". http://www.spiegel.de/netzwelt/netzpolitik/miniflame-kaspersky-meldet-neuen-spionagevirus-a-861436.html
Prima, dann wird ja der der "Minimax" aus dem Hause Kaspersky die Flammen löschen.
3. so so
roflem 16.10.2012
Israel und die Amerikaner basteln zusammen an Bankingtrojanern? Ist das die neue Mode? hackingteam.it ? Staatsviren aus Indien? Dazu die netten Jungs von der Gammagroup aus England, die ihre Trojaner bei den Diktatoren der Welt anbieten wie Sauerbier? Die neue Marktlücke für russische cybercrime Burschis? Absurdistan in action.
4. Ja wo sind se denn ?
jontev 16.10.2012
Die sponleser experten, die immer alles vorher wussten und hinterher es noch besser umgekehrt wussten?
5. angriff
44-lenin2 16.10.2012
wenn sich nun herausstellen sollte das Israel oder die USA wirklich die Ursprungsländer sind, ist dies doch ein legetimer Grund sein für den Iran alle erdenklichen Verteidigungsszenarien in die Realität umzusetzten. Ich mein, bei den USA und Isreal ist in diesem Falle ja auch der Einsatz von Atomwaffen gestattet. Aber egal was passiert: der Iran verweigert die zusammenarbeit, der Iran will den Krieg, der Iran provoziert. Schon extrem durchsichtig das Ganze.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Computerviren
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 9 Kommentare


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.