Die Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig – ein „Präzisionswerkzeug“.
Er habe nur einige Dutzend Rechner befallen, vor allem imLibanon und in Iran. Betroffen sind demnach jedoch auch Computer in Frankreich und den USA. Auch Katar und Kuwait stehen auf der Liste – für einzelne Staaten scheinen sogar spezielle Varianten des Virus zu existieren.
Die Software sei ein „kleines, funktionales Spionagemodul, das für Datendiebstahl und direkten Zugang zu den infizierten System gestaltet wurde“, so die Forscher in einem Blogeintrag. Es basiere auf der gleichen Softwareplattform wie der ungleich größere Flame-Virus.
Während Flame Schätzungen zufolge 5000 bis 6000 Rechner befallen haben soll, ist miniFlame nur auf 50 bis 60 Computern installiert, glauben die Forscher. Nach Stuxnet, Flame, Gauss und Duqu wäre miniFlame das fünfte Mitglied einer ganzen Familie von Cyberwaffen, die alle aus der gleichen „Fabrik“ zu stammen scheinen, wie Kaspersky das ausdrückt. Die Virenfamilie gilt als erstes Beispiel für extrem aufwendige, von Nationalstaaten organisierte Cyber-Spionage und -Sabotage. Es gilt als wahrscheinlich, dass die USA und Israel hinter den Operationen stecken.
miniFlame als Nachhut?
Die Software könne beispielsweise benutzt werden, um Screenshots vom befallenen Rechner anzufertigen, Daten weiterzuleiten oder weitere Software dort zu installieren. Diese Art von direkter Einflussnahme auf die befallenen Rechner hätten weder Flame noch Gauss geboten, so die Forscher. Die Entwickler der Spionagesoftware selbst hätten miniFlame zwei unterschiedliche Namen gegeben, nämlich „John“ und „SPE“, so Kaspersky Lab.
Die Virenforscher vermuten, dass nur Rechner befallen worden sind, die bereits zuvor mit Flame oder dem Bankentrojaner Gauss infiziert wurden: Das Schadprogramm sei sowohl als Teil von Flame als auch als Teil von Gauss aufgetaucht und teile seine Kommando- und Kontrollserver (C&C) mit Flame. Die Kaspersky-Forscher vermuten, dass es von diesen C&C-Servern aus auf die befallenen Rechner geschmuggelt wurde. Flame und Gauss könnten die Daten geliefert haben, auf deren Basis anschließend die Ziele für miniFlame ausgewählt wurden.
Flame konnte danach von den betroffenen Rechnern gelöscht werden – der Lösch-Befehl aber hätte miniFlame unberührt gelassen. Der neue, kleinere Virus hätte den Rechner anschließend sogar gegen erneuten Flame-Befall immunisiert. Die Kaspersky-Forscher vermuten, dass für miniFlame auch eigene, bislang unentdeckte Kontrollserver existieren.
Enttarnt wurde miniFlame nur, weil Kaspersky sich Zugriff auf zwei Flame-C&C-Server verschafft hatte. Bei der Überwachung des Datenverkehrs von und zu diesen Servern sei man auf die mit miniFlame infizierten Computer gestoßen. Insgesamt habe man sechs Varianten des neuen Virus gefunden, so Kaspersky, die zwischen dem 1. Oktober 2010 und dem 1. September 2011 erstellt wurden. Besonders weit verbreitet sei eine Version von Juli 2011.
Bei Kaspersky ist man überzeugt, dass man noch mehr Mitglieder der Virenfamilie um Stuxnet und Flame finden wird. „Wir haben vermutlich nur die Oberfläche der massiven Cyber-Spionage-Operationen angekratzt, die im Nahen Osten im Gange sind“, heißt es im Bericht über miniFlame – cis
Anatomie eines Hightech-Schädlings
Von Konrad Lischka und Christian Stöcker
Er kann Gespräche belauschen, Dateien übertragen, Chats protokollieren: Russische IT-Experten haben ein Spionageprogramm entdeckt, das rund tausend Rechner im Nahen Osten überwachen soll. Die Forscher nennen den Schädling „unglaublich komplex“. Ein Überblick, was der Virus kann.
Die Kaspersky-Forscher klingen fast ehrfürchtig, wenn sie sich zu der neu entdeckten Schadsoftware Flame äußern. Man habe es „mit einer der komplexesten Bedrohungen, die je entdeckt worden sind“ zu tun, schreiben die Mitarbeiter des russischen Antivirus-Unternehmens in ihrer Analyse des auf Rechnern im Nahen Osten entdeckten Schnüffelprogramms. Nach Stuxnet und Duqu ist Flame die dritte offenbar mit gewaltigem Aufwand produzierte Cyberwaffe, die Virenforscher in freier Wildbahn aufgespürt haben.
Das Zwanzig-Megabyte-Paket, das die vollständig entpackte Version von Flame darstellt, besteht aus einer Vielzahl von Modulen mit unterschiedlichen Kompressions- und Verschlüsselungstechniken. „Es ist ziemlich phantastisch und unglaublich, was die Komplexität angeht“, sagte Kaspersky-Forscher Alexander Gostev „Wired“. Flame enthält 20 Plug-ins, einzelne Softwaremodule, die ausgetauscht werden können, um den Angreifern die jeweils gewünschte Funktionalität zur Verfügung zu stellen.
Welchem Zweck dient das Schadprogramm?
Die Macher von Flame sind nicht auf das schnelle Geld aus – ihr Schadprogramm ist nicht auf Online-Banking oder andere lukrative Web-Anwendungen ausgerichtet. Die Kaspersky-Experten haben diese Eigenschaften beobachtet:
- Flame kann interne Mikrofone befallener Rechner nutzen, um beispielsweise Gespräche in Büros oder aber Voice-over-IP-Telefonate aufzuzeichnen. Die Aufzeichnungen werden komprimiert gespeichert und regelmäßig an die Steuercomputer übertragen.
- Die Schadsoftware zeichnet mit Screenshots Bildschirminhalte auf – besonders viele Screenshots werden immer dann gemacht, wenn bestimmte Anwendungen laufen, zum Beispiel Chatprogramme.
- Bei der von den Kaspersky-Experten analysierten Flame-Version ist kein spezifisches Erkenntnisinteresse zu beobachten: Das Programm überträgt von befallenen Rechnern E-Mails und Dateien ohne besondere Einschränkung. Die Kaspersky-Experten schließen daraus, Flame sei ein allgemeines Werkzeug-Set für Cyberspionage – es könne aber auch Module für spezifische Angriffe und konkrete Ziele transportieren.
- In jedem Fall ist die Software mit einer Hintertür ausgestattet, die das Nachladen von Komponenten gestattet – theoretisch ist Flame also eine Allzweckwaffe.
- Nach der bisherigen Verbreitung zu urteilen, zielt Flame vor allem auf Rechner in Staaten im Nahen Osten und Nordafrika: Iran, Sudan, Syrien, Saudi-Arabien, Ägypten, Libanon und das Westjordanland sind Kaspersky zufolge betroffen.
Wie verbreitet sich Flame?
Wahrscheinlich gelangt der Virus bei gezielten Angriffen in Netzwerke und auf Einzelrechner: Eine auf bestimmte Empfänger zugeschnittene E-Mail verleitet sie dazu, eine Website aufzurufen oder eine angehängte Datei zu öffnen. Sobald sie das tun, beginnt die Infektion des gerade genutzten Rechners. Diese als „Spear Phishing“ bezeichnete Methode wird oft bei Spionage-Angriffen auf Regierungen, internationale Organisationen und Unternehmen genutzt.
Wie die Erstinfektion durch Flame abläuft, konnten die Kaspersky-Experten bislang nicht nachvollziehen. Sie vermuten allerdings, dass dabei eine Windows-Sicherheitslücke ausgenutzt wird.
Einmal auf einem Zielrechner aktiv, können die Befehlsgeber Flame verschiedene Module nachladen lassen, um weitere Computer zu befallen:
- Infektion angeschlossener USB-Sticks: Die von Kaspersky untersuchte Flame-Version beinhaltet zwei Module zu diesem Zweck. Eines der Module nutzt einen Angriffsweg, den die Kasperksy-Experten bislang nur bei Stuxnet beobachtet haben.
- Verbreitung in lokalen Netzwerken: Wie Stuxnet nutzt Flame dabei unter anderem eine Sicherheitslücke, die eine Infektion weiterer Rechner über Netzwerk-Drucker ermöglicht. Kaspersky berichtet, dass ein Windows-7-System auf neuestem Stand über ein lokales Netzwerk mit Flame infiziert wurde. Sie vermuten deshalb, dass Flame eine Sicherheitslücke ausnutzen könnte, die Microsoft bislang unbekannt war (eine sogenannte Zero-Day-Lücke).
Flame verbreitet sich kontrolliert, laut Kaspersky muss ein Befehlsgeber erst das Kommando zur Infektion weiterer Computer an eine Flame-Installation geben, angeblich zählt jede Installation der Schadsoftware die von ihr ausgehenden Angriffe, die Anzahl ist laut Kaspersky beschränkt.
Welche Rechner sind befallen?
Alles in allem sind Kasperskys Schätzungen zufolge etwa 1000 Rechner von den diversen Varianten von Flame befallen – dabei handelt es sich allerdings um eine Hochrechnung. Das Prinzip ist: Kaspersky extrapoliert von der Anzahl der befallenen Computer im Kreise der eigenen Kundschaft auf den Rest der digitalen Welt. Solche Schätzungen sind zwangsläufig ziemlich spekulativ. Ein spezifisches Muster konnten die Forscher bei den befallenen Rechnern bislang nicht ausmachen: „Die Opfer reichen von Einzelpersonen über gewisse staatliche Organisationen bis hin zu Bildungseinrichtungen.“ Klar scheint jedoch zu sein, dass sich die Opfer des Virus vorrangig im Nahen Osten befinden.
Eine Forschergruppe der Technischen Universität Budapest hat in den vergangenen Wochen parallel zu Kaspersky womöglich eine Variante derselben Schadsoftware analysiert. Die Budapester Forscher schreiben in ihrem Bericht, das von ihnen untersuchte Schadprogramm sei wahrscheinlich von Europa aus auf einer Analyseseite hochgeladen worden. Für die Budapester Gruppe ist es „offenkundig“, dass die von ihnen sKyWIper getaufte Schadsoftware „identisch“ mit dem Flamer genannten Schädling ist.
Symantec, ein Hersteller von Antiviren-Software, berichtet über Funde von Flamer-Varianten vor allem auf Rechnern in Ungarn, der West Bank, im Iran und Libanon. Auch in Österreich, Russland, Hongkong und den Vereinigten Arabischen Emiraten habe man Hinweise auf Flamer entdeckt – so wenige allerdings, dass es sich dabei auch um unterwegs genutzte, in anderen Staaten infizierte Laptops handeln könnte.
Wann wurde das Programm geschrieben?
Das genaue Geburtsdatum von Flame ist derzeit offenbar kaum zu bestimmen. Die Entwickler haben sich größte Mühe gegeben, den Entstehungszeitpunkt so gut wie möglich zu verschleiern. Unterschiedliche Module der komplexen Schadsoftware scheinen auf den ersten Blick in Jahren entwickelt worden zu sein. „Die Module scheinen von 1994 und 1995 zu stammen, aber der Code, den sie enthalten, kam erst 2010 heraus“, erklärte Kaspersky-Forscher Alexander Gostev „Wired„.
Die frühesten Spuren des Virus in freier Wildbahn, die Kaspersky auf den Rechnern seiner eigenen Kundschaft finden konnte, sind aus dem August 2010 datiert. Das Internetsicherheitsunternehmen Webroot listet jedoch eine Datei, deren Name im Flame-Paket vorkommt, jedoch schon im Dezember 2007 auf. Betroffen war damals ein Rechner in Europa, im April 2008 ein weiterer in Dubai. Dieser und ein weiterer mit Flame assoziierter Dateiname wurde Webroot zufolge am 1. März 2010 erstmals auf einem Rechner in Iran nachgewiesen.
Bei Kaspersky geht man davon aus, dass Flame spätestens ab „Februar bis März 2010“ aktiv war, möglicherweise auch schon früher. Die Forscher sind überzeugt, dass an dem Virus noch immer gearbeitet wird: „Seine Schöpfer führen in mehreren Modulen immer wieder Veränderungen durch, benutzen jedoch weiterhin dieselbe Architektur und dieselben Dateinamen.“ Einige der Module seien noch 2011 und sogar 2012 verändert worden.
Gibt es Verbindungen zu Stuxnet?
Auf den ersten Blick scheint Flame nicht aus dem gleichen Baukasten zusammengesetzt zu sein wie Stuxnet und Duqu. Die Plattform, die Kaspersky-Forscher „Tilded“ getauft haben, auf der Stuxnet und Duqu basieren, gehört nicht zum genetischen Code von Flame. „Flame und Stuxnet/Duqu wurden vermutlich von zwei unterschiedlichen Gruppen entwickelt“, schließen die Kaspersky-Forscher. Es sei allerdings möglich, dass die Autorenteams beider Virentypen Zugang zum gleichen Katalog von Sicherheitslücken gehabt hätten.
Flame nutze eine Infektionsmethode und eine bestimmte Sicherheitslücke, die auch in Stuxnet und Duqu zum Einsatz gekommen seien. Der nun neu entdeckte Flame-Virus basiere aber auf einer „vollkommen anderen Philosophie“. Möglich sei auch, dass Flame nach Stuxnet entwickelt worden sei und die Flame-Autoren Angriffswege und Sicherheitslücken aus den Veröffentlichungen über Stuxnet übernommen hätten. Bei Kaspersky ist man sich jedoch offenbar sicher, dass Flame von einem ähnlich professionellen Team konstruiert worden sein muss wie Stuxnet und Duqu. Möglicherweise als „paralleles Projekt für den Fall, dass ein anderes Projekt entdeckt wird“.
Das iranische Computersicherheitszentrum Maher sieht eine Verbindung zwischen Stuxnet, Duqu und Flame. Es scheine „eine enge Beziehung zu den gezielten Stuxnet- und Duqu-Attacken“ zu geben, so die Iraner, das schließe man aus „den Konventionen, nach denen die Dateinamen vergeben wurden, den Fortpflanzungsmethoden, dem Komplexitätslevel, der präzisen Zielgerichtetheit und superben Funkionalität“ der Schadsoftware.
In ihrem Umfang unterscheiden Stuxnet und Flame sich dramatisch: Alle Flame-Komponenten zusammengenommen verbrauchen 20 Megabyte Festplattenspeicher, während Stuxnet zwar mächtig aber extrem schlank war: Der Virus, der wohl Hunderte Uranzentrifugen in der iranischen Aufbereitungsanlage Natans zerstörte, war 500 Kilobyte klein. „Wired“ zitiert Kaspersky-Forscher Gostev mit den Worten, es werde wohl Jahre dauern, bis der gesamte Flame-Code analysiert ist: „Wir haben ein halbes Jahr gebraucht, um Stuxnet zu analysieren. Das hier ist 20 mal komplizierter. Es wird uns zehn Jahre kosten, alles vollständig zu verstehen.“
Das bisher bekannte Verbreitungsgebiet von Flame.
Siehe auch: USA nehmen sich das Angriffsrecht im Cyberwar
und Trapwire, das mächtige Fallen-Netz der USA
Update: US-Gericht gestattet Google und Yahoo, die Mails ihrer User zu lesen
Update: Neues Gesetz erlaubt den USA den Angriff auf fremde Netze
Update: Equation-Gruppe: „Todesstern der Malware-Galaxie“
newswatch4U 