miniFlame: Kaspersky meldet neuen Spionagevirus

Hamburg - Die Forscher nennen den neuen Virus miniFlame, in Anlehnung an die bekannte Spionagesoftware Flame, die Kaspersky Lab bereits im Mai 2012 der Öffentlichkeit präsentierte. Während Flame jedoch ein ziemlicher Brocken ist, ein für einen Computervirus erstaunlich großes Stück Software mit einer Vielzahl potentieller Funktionen, sei miniFlame ein "hochpräzises, chirurgisches Angriffswerkzeug", so die Fachleute der russischen IT-Sicherheitsfirma.

Er habe nur einige Dutzend Rechner befallen, vor allem im Libanon und in Iran. Betroffen sind demnach jedoch auch Computer in Frankreich und den USA. Auch Katar und Kuwait stehen auf der Liste - für einzelne Staaten scheinen sogar spezielle Varianten des Virus zu existieren.

Die Software sei ein "kleines, funktionales Spionagemodul, das für Datendiebstahl und direkten Zugang zu dem infizierten System gestaltet wurde", so die Forscher in einem Blog-Eintrag. Es basiere auf der gleichen Softwareplattform wie der ungleich größere Flame-Virus.

Während Flame Schätzungen zufolge 5000 bis 6000 Rechner befallen haben soll, ist miniFlame nur auf 50 bis 60 Computern installiert, glauben die Forscher. Nach Stuxnet, Flame, Gauss und Duqu wäre miniFlame das fünfte Mitglied einer ganzen Familie von Cyberwaffen, die alle aus der gleichen "Fabrik" zu stammen scheinen, wie Kaspersky das ausdrückt. Die Virenfamilie gilt als erstes Beispiel für extrem aufwendige, von Nationalstaaten organisierte Cyber-Spionage und -Sabotage. Es gilt als wahrscheinlich, dass die USA und Israel hinter den Operationen stecken.

miniFlame als Nachhut?

Die Software könne beispielsweise benutzt werden, um Screenshots vom befallenen Rechner anzufertigen, Daten weiterzuleiten oder weitere Software dort zu installieren. Diese Art von direkter Einflussnahme auf die befallenen Rechner hätten weder Flame noch Gauss geboten, so die Forscher. Die Entwickler der Spionagesoftware selbst hätten miniFlame zwei unterschiedliche Namen gegeben, nämlich "John" und "SPE", so Kaspersky Lab.

Die Virenforscher vermuten, dass nur Rechner befallen worden sind, die bereits zuvor mit Flame oder dem Bankentrojaner Gauss infiziert wurden: Das Schadprogramm sei sowohl als Teil von Flame als auch als Teil von Gauss aufgetaucht und teile seine Kommando- und Kontrollserver (C&C) mit Flame. Die Kaspersky-Forscher vermuten, dass es von diesen C&C-Servern aus auf die befallenen Rechner geschmuggelt wurde. Flame und Gauss könnten die Daten geliefert haben, auf deren Basis anschließend die Ziele für miniFlame ausgewählt wurden.

Flame konnte danach von den betroffenen Rechnern gelöscht werden - der Löschbefehl aber hätte miniFlame unberührt gelassen. Der neue, kleinere Virus hätte den Rechner anschließend sogar gegen erneuten Flame-Befall immunisiert. Die Kaspersky-Forscher vermuten, dass für miniFlame auch eigene, bislang unentdeckte Kontrollserver existieren.

Enttarnt wurde miniFlame nur, weil Kaspersky sich Zugriff auf zwei Flame-C&C-Server verschafft hatte. Bei der Überwachung des Datenverkehrs von und zu diesen Servern sei man auf die mit miniFlame infizierten Computer gestoßen. Insgesamt habe man sechs Varianten des neuen Virus gefunden, so Kaspersky, die zwischen dem 1. Oktober 2010 und dem 1. September 2011 erstellt wurden. Besonders weit verbreitet sei eine Version von Juli 2011.

Bei Kaspersky ist man überzeugt, dass man noch mehr Mitglieder der Virenfamilie um Stuxnet und Flame finden wird. "Wir haben vermutlich nur die Oberfläche der massiven Cyber-Spionage-Operationen angekratzt, die im Nahen Osten im Gange sind", heißt es im Bericht über miniFlame.