Computervirus Flame Anatomie eines Hightech-Schädlings

Er kann Gespräche belauschen, Dateien übertragen, Chats protokollieren: Russische IT-Experten haben ein Spionageprogramm entdeckt, das rund tausend Rechner im Nahen Osten überwachen soll. Die Forscher nennen den Schädling "unglaublich komplex". Ein Überblick, was der Virus kann.

Flame-Code: Das Schadprogramm spioniert Computer im Nahen Osten aus

Flame-Code: Das Schadprogramm spioniert Computer im Nahen Osten aus

Von und


Hamburg - Die Kaspersky-Forscher klingen fast ehrfürchtig, wenn sie sich zu der neu entdeckten Schadsoftware Flame äußern. Man habe es "mit einer der komplexesten Bedrohungen, die je entdeckt worden sind" zu tun, schreiben die Mitarbeiter des russischen Antivirus-Unternehmens in ihrer Analyse des auf Rechnern im Nahen Osten entdeckten Schnüffelprogramms. Nach Stuxnet und Duqu ist Flame die dritte offenbar mit gewaltigem Aufwand produzierte Cyberwaffe, die Virenforscher in freier Wildbahn aufgespürt haben.

Das Zwanzig-Megabyte-Paket, das die vollständig entpackte Version von Flame darstellt, besteht aus einer Vielzahl von Modulen mit unterschiedlichen Kompressions- und Verschlüsselungstechniken. "Es ist ziemlich phantastisch und unglaublich, was die Komplexität angeht", sagte Kaspersky-Forscher Alexander Gostev "Wired". Flame enthält 20 Plug-ins, einzelne Softwaremodule, die ausgetauscht werden können, um den Angreifern die jeweils gewünschte Funktionalität zur Verfügung zu stellen.

Welchem Zweck dient das Schadprogramm?

Die Macher von Flame sind nicht auf das schnelle Geld aus - ihr Schadprogramm ist nicht auf Online-Banking oder andere lukrative Web-Anwendungen ausgerichtet. Die Kaspersky-Experten haben diese Eigenschaften beobachtet:

  • Flame kann interne Mikrofone befallener Rechner nutzen, um beispielsweise Gespräche in Büros oder aber Voice-over-IP-Telefonate aufzuzeichnen. Die Aufzeichnungen werden komprimiert gespeichert und regelmäßig an die Steuercomputer übertragen.
  • Die Schadsoftware zeichnet mit Screenshots Bildschirminhalte auf - besonders viele Screenshots werden immer dann gemacht, wenn bestimmte Anwendungen laufen, zum Beispiel Chatprogramme.
  • Bei der von den Kaspersky-Experten analysierten Flame-Version ist kein spezifisches Erkenntnisinteresse zu beobachten: Das Programm überträgt von befallenen Rechnern E-Mails und Dateien ohne besondere Einschränkung. Die Kaspersky-Experten schließen daraus, Flame sei ein allgemeines Werkzeug-Set für Cyberspionage - es könne aber auch Module für spezifische Angriffe und konkrete Ziele transportieren.
  • In jedem Fall ist die Software mit einer Hintertür ausgestattet, die das Nachladen von Komponenten gestattet - theoretisch ist Flame also eine Allzweckwaffe.
  • Nach der bisherigen Verbreitung zu urteilen, zielt Flame vor allem auf Rechner in Staaten im Nahen Osten und Nordafrika: Iran, Sudan, Syrien, Saudi-Arabien, Ägypten, Libanon und das Westjordanland sind Kaspersky zufolge betroffen.

Wie verbreitet sich Flame?

Wahrscheinlich gelangt der Virus bei gezielten Angriffen in Netzwerke und auf Einzelrechner: Eine auf bestimmte Empfänger zugeschnittene E-Mail verleitet sie dazu, eine Website aufzurufen oder eine angehängte Datei zu öffnen. Sobald sie das tun, beginnt die Infektion des gerade genutzten Rechners. Diese als "Spear Phishing" bezeichnete Methode wird oft bei Spionage-Angriffen auf Regierungen, internationale Organisationen und Unternehmen genutzt.

Wie die Erstinfektion durch Flame abläuft, konnten die Kaspersky-Experten bislang nicht nachvollziehen. Sie vermuten allerdings, dass dabei eine Windows-Sicherheitslücke ausgenutzt wird.

Einmal auf einem Zielrechner aktiv, können die Befehlsgeber Flame verschiedene Module nachladen lassen, um weitere Computer zu befallen:

  • Infektion angeschlossener USB-Sticks: Die von Kaspersky untersuchte Flame-Version beinhaltet zwei Module zu diesem Zweck. Eines der Module nutzt einen Angriffsweg, den die Kasperksy-Experten bislang nur bei Stuxnet beobachtet haben.
  • Verbreitung in lokalen Netzwerken: Wie Stuxnet nutzt Flame dabei unter anderem eine Sicherheitslücke, die eine Infektion weiterer Rechner über Netzwerk-Drucker ermöglicht. Kaspersky berichtet, dass ein Windows-7-System auf neuestem Stand über ein lokales Netzwerk mit Flame infiziert wurde. Sie vermuten deshalb, dass Flame eine Sicherheitslücke ausnutzen könnte, die Microsoft bislang unbekannt war (eine sogenannte Zero-Day-Lücke).

Flame verbreitet sich kontrolliert, laut Kaspersky muss ein Befehlsgeber erst das Kommando zur Infektion weiterer Computer an eine Flame-Installation geben, angeblich zählt jede Installation der Schadsoftware die von ihr ausgehenden Angriffe, die Anzahl ist laut Kaspersky beschränkt.

Welche Rechner sind befallen?

Alles in allem sind Kasperskys Schätzungen zufolge etwa 1000 Rechner von den diversen Varianten von Flame befallen - dabei handelt es sich allerdings um eine Hochrechnung. Das Prinzip ist: Kaspersky extrapoliert von der Anzahl der befallenen Computer im Kreise der eigenen Kundschaft auf den Rest der digitalen Welt. Solche Schätzungen sind zwangsläufig ziemlich spekulativ. Ein spezifisches Muster konnten die Forscher bei den befallenen Rechnern bislang nicht ausmachen: "Die Opfer reichen von Einzelpersonen über gewisse staatliche Organisationen bis hin zu Bildungseinrichtungen." Klar scheint jedoch zu sein, dass sich die Opfer des Virus vorrangig im Nahen Osten befinden.

Eine Forschergruppe der Technischen Universität Budapest hat in den vergangenen Wochen parallel zu Kaspersky womöglich eine Variante derselben Schadsoftware analysiert. Die Budapester Forscher schreiben in ihrem Bericht, das von ihnen untersuchte Schadprogramm sei wahrscheinlich von Europa aus auf einer Analyseseite hochgeladen worden. Für die Budapester Gruppe ist es "offenkundig", dass die von ihnen sKyWIper getaufte Schadsoftware "identisch" mit dem Flamer genannten Schädling ist.

Symantec, ein Hersteller von Antiviren-Software, berichtet über Funde von Flamer-Varianten vor allem auf Rechnern in Ungarn, der West Bank, im Iran und Libanon. Auch in Österreich, Russland, Hongkong und den Vereinigten Arabischen Emiraten habe man Hinweise auf Flamer entdeckt - so wenige allerdings, dass es sich dabei auch um unterwegs genutzte, in anderen Staaten infizierte Laptops handeln könnte.

Wann wurde das Programm geschrieben?

Das genaue Geburtsdatum von Flame ist derzeit offenbar kaum zu bestimmen. Die Entwickler haben sich größte Mühe gegeben, den Entstehungszeitpunkt so gut wie möglich zu verschleiern. Unterschiedliche Module der komplexen Schadsoftware scheinen auf den ersten Blick in Jahren entwickelt worden zu sein. "Die Module scheinen von 1994 und 1995 zu stammen, aber der Code, den sie enthalten, kam erst 2010 heraus", erklärte Kaspersky-Forscher Alexander Gostev "Wired".

Die frühesten Spuren des Virus in freier Wildbahn, die Kaspersky auf den Rechnern seiner eigenen Kundschaft finden konnte, sind aus dem August 2010 datiert. Das Internetsicherheitsunternehmen Webroot listet jedoch eine Datei, deren Name im Flame-Paket vorkommt, jedoch schon im Dezember 2007 auf. Betroffen war damals ein Rechner in Europa, im April 2008 ein weiterer in Dubai. Dieser und ein weiterer mit Flame assoziierter Dateiname wurde Webroot zufolge am 1. März 2010 erstmals auf einem Rechner in Iran nachgewiesen.

Bei Kaspersky geht man davon aus, dass Flame spätestens ab "Februar bis März 2010" aktiv war, möglicherweise auch schon früher. Die Forscher sind überzeugt, dass an dem Virus noch immer gearbeitet wird: "Seine Schöpfer führen in mehreren Modulen immer wieder Veränderungen durch, benutzen jedoch weiterhin dieselbe Architektur und dieselben Dateinamen." Einige der Module seien noch 2011 und sogar 2012 verändert worden.

Gibt es Verbindungen zu Stuxnet?

Auf den ersten Blick scheint Flame nicht aus dem gleichen Baukasten zusammengesetzt zu sein wie Stuxnet und Duqu. Die Plattform, die Kaspersky-Forscher "Tilded" getauft haben, auf der Stuxnet und Duqu basieren, gehört nicht zum genetischen Code von Flame. "Flame und Stuxnet/Duqu wurden vermutlich von zwei unterschiedlichen Gruppen entwickelt", schließen die Kaspersky-Forscher. Es sei allerdings möglich, dass die Autorenteams beider Virentypen Zugang zum gleichen Katalog von Sicherheitslücken gehabt hätten.

Flame nutze eine Infektionsmethode und eine bestimmte Sicherheitslücke, die auch in Stuxnet und Duqu zum Einsatz gekommen seien. Der nun neu entdeckte Flame-Virus basiere aber auf einer "vollkommen anderen Philosophie". Möglich sei auch, dass Flame nach Stuxnet entwickelt worden sei und die Flame-Autoren Angriffswege und Sicherheitslücken aus den Veröffentlichungen über Stuxnet übernommen hätten. Bei Kaspersky ist man sich jedoch offenbar sicher, dass Flame von einem ähnlich professionellen Team konstruiert worden sein muss wie Stuxnet und Duqu. Möglicherweise als "paralleles Projekt für den Fall, dass ein anderes Projekt entdeckt wird".

Das iranische Computersicherheitszentrum Maher sieht eine Verbindung zwischen Stuxnet, Duqu und Flame. Es scheine "eine enge Beziehung zu den gezielten Stuxnet- und Duqu-Attacken" zu geben, so die Iraner, das schließe man aus "den Konventionen, nach denen die Dateinamen vergeben wurden, den Fortpflanzungsmethoden, dem Komplexitätslevel, der präzisen Zielgerichtetheit und superben Funkionalität" der Schadsoftware.

In ihrem Umfang unterscheiden Stuxnet und Flame sich dramatisch: Alle Flame-Komponenten zusammengenommen verbrauchen 20 Megabyte Festplattenspeicher, während Stuxnet zwar mächtig aber extrem schlank war: Der Virus, der wohl Hunderte Uranzentrifugen in der iranischen Aufbereitungsanlage Natans zerstörte, war 500 Kilobyte klein. "Wired" zitiert Kaspersky-Forscher Gostev mit den Worten, es werde wohl Jahre dauern, bis der gesamte Flame-Code analysiert ist: "Wir haben ein halbes Jahr gebraucht, um Stuxnet zu analysieren. Das hier ist 20 mal komplizierter. Es wird uns zehn Jahre kosten, alles vollständig zu verstehen."

Der Autor auf Facebook

Forum - Diskutieren Sie über diesen Artikel
insgesamt 97 Beiträge
Alle Kommentare öffnen
Seite 1
Walter Sobchak 29.05.2012
1.
Unglaublich komplex. Aha. Klar, mit Lua Scripting und SQLite3 Datenbank ist es schon fast eine ausgewachsenes Office-Programm. Auch von der Groesse mit 20 MB nicht gerade leichtgewichtig. Die Snake-Oil Hersteller sollen sich mal nicht laecherlich machen.
albinzollingerjr. 29.05.2012
2. Kommt alles zurück
Kann nur eine Frage der Zeit sein, bis ein bemüht gefasst wirkender Pentagon-Mitarbeiter vom nächsten "Angriff auf Amerika" sprechen wird: Wer mit Drohnen und Viren operiert, kann schon heute damit rechnen, dass seine Feinde nach amerikanischen Totesopfern verlangen. Ich hatte ja gehofft, dass Amerikaner langsam erkennen, dass sie angreifbar sind. Hier spielen Militärs (und wer noch?) mit dem Leben von Zivilpersonen.
helmar 29.05.2012
3. 1000 oder 5000 Infektionen?
An anderer Stelle wird Kaspersky mit 5000 Infektionen zitiert. Hat sich was geändert an der Einschätzung? Nach http://www.crysys.hu/ sind auch europäische Rechner infiziert und CrySyS hat den gleichen Schädling untersucht.
Pat-Riot 29.05.2012
4. Wir / us
Zitat von sysopEr kann Gespräche belauschen, Dateien übertragen, Chats protokollieren: Russische IT-Experten haben ein Spionageprogramm entdeckt, das rund tausend Rechner im Nahen Osten überwachen soll. Die Forscher nennen den Schädling "unglaublich komplex". Das kann der Virus. http://www.spiegel.de/netzwelt/web/0,1518,835652,00.html
"Der" Virus kann alles außer Genus.
der_pirat 29.05.2012
5. Diese Software
wurde nicht von einer Person entwickelt... Aber sie zeigt, dass Auseinandersetzungen heute elektronisch geregelt werden. Und was lernen wir daraus?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.