Schlagwort: Stuxnet

Nein, das ist kein Film, das ist echtes Leben: Wir werden wirklich überwacht!

„Alle wissen es, doch niemand spricht es aus – Deutschland ist nicht souverän„. Unter dieser Überschrift habe ich im Juli letzten Jahres, als langsam klar wurde, welche Dimension die Enthüllungen von Edward Snowden haben, zusammengefasst,  dass Deutschland noch immer an den Folgen des Zweiten Weltkrieges trägt. Da gibt es unter anderem das G10-Gesetz, das unsere Geheimdienste bis heute verpflichtet, mit denen der Siegermächte zusammen zu arbeiten.  Dieses Thema ist heute aktueller denn je.

„Was ist der Bundesregierung über eine Vorausschreibung zur Überwachung Sozialer Netze durch das Oberkommando der US-Army in Europa bekannt?“ „Die Bundesregierung beobachtet derartige Vorausschreibungen nicht aktiv und hat daher über die Medienberichterstattung hinaus keine Kenntnis von dem Vorgang,“ antwortet am 18. März 2014 das Bundes-Innenministrium auf eine kleine Anfrage der Fraktion Die Linke. Nur zwei Monate später berichtete dpa, der BND wolle 300 Millionen Euro haben, um das Internet sicherer zu machen. netzpolitik.org zitiert in Auszügen und kommentiert: „Geplant ist nach dpa-Informationen der Aufbau eines Informationsringes mit internationalen Partnerdiensten des deutschen Auslandsnachrichtendienstes. So sollen Spionageangriffe über das Internet erkannt werden, bevor sie die Infrastruktur in Deutschland erreichen. Abwehrmechanismen könnten so rechtzeitig in Kraft gesetzt werden. […]

Bei den BND-Plänen geht es aber nicht nur um die Abwehr von Wirtschaftsspionage, sondern auch um Rezepte gegen Cyber-Attacken auf kritische Infrastruktur wie etwa die Elektrizitäts- oder Wasserversorgung. Für den BND sind unter anderem Glasfaserkabel im Ausland interessant, deren Datenströme sich nach Schadsoftware durchsuchen lassen. Das Besondere an der Strategie: Durch enge Zusammenarbeit vor allem mit europäischen Geheimdiensten, aber auch mit US-Partnern soll Schadsoftware erkannt werden, bevor sie Computer in Deutschland angegreift. Entscheidende Voraussetzung für den Erfolg dieser Strategie ist laut Schindler, dass man eine große Datenbasis hat – zu möglichen Angreifern, zu Angriffswegen, zu technischen Details.“

„Wie muss man sich das vorstellen?“ fragt Autor Markus Beckedahl. „Ein Ringtauschsystem mit NSA und GCHQ, damit diese unseren Diensten berichten, wenn sie uns angreifen um unsere Wirtschaft, Politik und die Gesellschaft zu überwachen? Gefallen hat man offenbar auch am Tempora-Programm der Briten gefunden, wobei immer noch ungeklärt ist, wie die Netzüberwachung des BND in deutschen Netzen funktioniert.“

Am 30 Mai 2014 schafft es die Nachricht sogar in die Tagesschau:  „Insgesamt benennt der BND fünf Bereiche, in denen umfangreich modernisiert werden soll. Sonst, so heißt es gegenüber Parlamentariern, drohe man, hinter Spanien und Italien zurückzufallen. Im Bereich der traditionellen Internet- und Fernmeldeüberwachung, so interne Strategieüberlegungen, müsse man angesichts der riesigen Datenmengen vermehrt auf die Analyse sogenannter Metadaten setzen, also der Frage, wer wann mit wem kommuniziert habe. Dies sei zeitgemäßer als die Inhaltserfassung. Die gespeicherten Metadaten sollen dann gefiltert werden, um bei Bedarf und Verdacht Zugriff auf Telefonate und E-Mails zu haben.“

„Der Bundesnachrichtendienst (BND) will künftig die sozialen Netze in “Echtzeit” ausforschen können und digital aufrüsten,“ schreibt netzpolitik.org. […] Das Projekt läuft intern unter dem Titel “Echtzeitanalyse von Streaming-Daten” und ist Teil einer sogenannten “Strategischen Initiative Technik” (SIT). […]Bereits in diesem Jahr will der Auslandsgeheimdienst seine Technik verbessern, um Weblogs, Foren und Portale wie Flickr, Facebook und Twitter systematisch auswerten zu können. Neben der Internetüberwachung sollen mobile Geräte zum Abfangen von Messdaten von Raketentests angeschafft werden, außerdem will der Dienst künftig verstärkt Verbindungsdaten, sogenannte Metadaten, ausspähen. […] Außerdem will der Dienst offenbar Software-Sicherheitslücken für gezielte Spähattacken nutzen können.“

„Ausdrücklich wird in den Dokumenten darauf verwiesen, dass NSA & GCHQ das schließlich auch können,“ kommentiert wieder Markus Beckedahl. „Gleichzeitig will man eine eigene Vorratsdatenspeicherung, weil die ja so schön grundrechtsfreundlich sei. Und man möchte vermehrt selbst als cyberkrimineller Geheimdienst auftreten und selbst Unsicherheit im Namen von Sicherheit schaffen, indem Sicherheitslücken nicht gestopft sondern zum Angriff verwendet werden.“

Was lernen wir aus diesem Beispiel?

  • Alle Geheimdienste der Welt sind gleich. Der einzige Unterschied: Die in den USA haben mehr Geld.
  • Alle Regierungen der Welt sind gleich. Sie sagen uns erst die Wahrheit, wenn diese schon auf dem Tisch liegt.

No Spy-Abkommen mit den USA oder rein europäische Datennetze, um eine Ausforschung von Übersee zu verhindern, sind lächerlich. Das Netz hat seine Mitte (jedenfalls für uns Deutsche) im eigenen Land. Will man etwas dagegen unternehmen, muss man auch genau hier anfangen. Siehe dazu: Was tun gegen totale Datenkontrolle?

1,7 Milliarden Dollar, so die Süddeutsche Zeitung, stehen den amerikanischen Geheimdiensten jährlich zur Verfügung. Der „Generaldirektor“ James Clapper lügt bei Berichten über die Verwendung des Geldes auch den zuständigen US-Ausschüssen, ohne mit der Wimper zu zucken,s ins Gesicht. Dies, so berichtete Edward Snowden dieser Tage, sei für ihn das Schlüsselerlebnis gewesen, nach dem er sich entschieden habe, zum Whistleblower zu werden.

Ein passendes Handbuch zum Ausspähen der sozialen Netze liegt übrigens in den USA schon bereit. Analog zum Handbuch „The Art of Deception„, über das ich bereits ausführlich berichtet habe, gibt es alle nötigen Informationen in einer Power Point Präsentation. 30-05-2014 22-31-18 Im Jahr 2010 hat der BND 37 Millionen Mails auf terroristische Inhalte hin gefiltert. Genau 12 davon erwiesen sich als relevant – was den Berliner Anwalt Niko Härting dazu veranlasste, Beschwerde gegen den BND wegen unverhältnismäßiger Massenüberwachung einzureichen.  1999 gab es einen ähnlichen Fall, in dem es um Telefonüberwachung durch den BND ging.

„Diese Liste muss sowohl dem Bundeskanzleramt als auf der G10-Kommission bekannt gewesen sein, die solche Überwachungsmaßnahmen beaufsichtigen und autorisieren. Das zeigt, dass auch deutsche Stellen in der Herausgabe von Quasi-Vollmachten Institutionen wie dem US-FISA-Gericht, der die NSA-Maßnahmen genehmigt, in nichts nachstehen,“ kommentiert netzpolitik.org.

„Die vom BND auf der Grundlage des G-10-Gesetzes erhobenen Daten mit Deutschlandbezug werden dem Parlamentarischen Kontrollgremium (PKG) regelmäßig berichtet und in einer offenen Bundestagsdrucksache veröffentlicht“, heißt es in einer Stellungnahme des Nachrichtendienstes dagegen im Juli 2013. Für das gesamte Jahr 2012 seien dies rund 850 000 Datensätze gewesen. „Eine millionenfache monatliche Weitergabe von Daten aus Deutschland an die NSA durch den BND findet nicht statt.“ Im gesamten Jahr 2012 seien lediglich zwei personenbezogene Datensätze deutscher Bürger an die NSA übermittelt worden. In einem Spiegel-Interview hatte Tage zuvor Edward Snowden von einer sehr engen Zusammenarbeit des BND mit der NSA berichtet…

Zurzeit beginnen das BKA und das FBI damit, ihre Dateien für Fingerabdrücke „auszutauschen“: Das BKA hat 2,3 Millionen, das FBI soll 70 Millionen Datensätze haben, sowie die kostenträchtige, zugehörige Technik bieten. „Der automatische Abgleich von Fingerabdrücken zwischen BKA und FBI ist Teil eines noch weitaumfassenderen Abkommens zwischen Deutschland und den USA. Dieses hatten die damaligen Bundesminister Wolfgang Schäuble (CDU) und Brigitte Zypries (SPD) als Vertreter Deutschlands bereits im Jahr 2008 ausgehandelt“, berichtet winfuture dazu.

„Wenn Staaten mit Daten bezahlen“ titelt zum selben Thema diese Woche die ZEIT. In dem Beitrag geht es darum, wie die USA andere Staaten zur Mitarbeit bewegen: „Die Geschichte von PISCES beginnt ein Jahr nach dem 11. September 2011. Damals bot das US-amerikanische Verteidigungsministerium einer Hand voll „Risikoländern“ einen Deal an: Pakistan, Afghanistan, der Jemen, Irak und andere sollten das Grenzkontrollsystem Personal Identification Secure Comparison and Evaluation System (PISCES) geschenkt bekommen. Mit dieser Software können Reisende an Flughäfen und anderen Kontrollpunkten überprüft werden. In Echtzeit werden Gesicht, Ausweisnummer, Fingerabdruck und andere biografische Informationen mit den Daten von Terror-Fahndungslisten abgeglichen,“ schreibt die Zeitung. Bei Wikipedia steht allerdings zu lesen, dass es das Programm bereits seit 1997 gibt und dass es im Jahr 2001 eben genau dieses definierte Ziel verfehlte, die 9/11-Terroristen abzufangen. nachrichtendienste104~_v-videowebl Keine Ahnung – wissen wir nicht, sind wir nicht beteiligt – wir handeln nach festgelegten Abkommen… so viel, aber kaum mehr erfährt, wer die Bundesregierung um Auskunft darüber bittet, welche Überwachungsmaßnehmen in Deutschland stattfinden, welche Kooperationen bestehen und wer was darf. Nicht selten enthält die Frage bereits mehr Information, als die Antwort.

Die Bundestagsfraktion „Die Linke“ stellt immer wieder kleine Anfragen an die Bundesregierung und erweist sich dabei als recht treffsicher. „Bereits heute sind die Personenerkennungssysteme der US-amerikanischen Bundespolizei FBI die größten biometrischen Polizeidatenbanken der Welt: Das „Integrated Automated Fingerprint Identification System“ (IAFIS) greift auf Daten von mehr als 90 Millionen Personen zurück, und im „National DNA Index System“ (NDIS) sind DNA-Profile von knapp neun Millionen Menschen gespeichert.

Zusätzlich baut das FBI im Rahmen seiner Programme „Next Generation Identification“ (NGI) und „Combined DNA Index System“ (CODIS) massiv die Fähigkeiten zur Speicherung und Weiterverarbeitung biometrischer Merkmale aus“, heißt es beispielsweise in einer Anfrage vom August 2011. Den passenden Vertrag dazu, datiert aus dem Jahr 2008 gibt es zu diesem Zeitpunkt schon lange. Man findet ihn hier. Ein Durchführungshandbuch hängt gleich dran.

Solche Beispiele lassen sich beliebig weiter führen. Von der Bundesregierung wird man nie auch nur ein Wort mehr erfahren, als unvermeidlich. Vor diesem Hintergrund gewinnen die beiden Themenabende des ZDF in der diesjährigen Himmelfahrtswoche ganz neue Bedeutung. Im Film über die Zusammenarbeit deutscher Dienste mit den USA geben amerikanische Gesprächspartner in großer Ehrlichkeit Auskunft darüber, dass sie sich nach 9/11 bewusst sowohl über Rechtslage, als auch Rechtsempfinden der eigenen Bevölkerung hinweg gesetzt haben. Wer immer sich den treibenden Kräften in den Weg stellte, wurde platt gemacht. Auch der zweite, kürzere Film zum politischen Gezerre um die Zukunft Edward Snowdens ist ausgesprochen aussagekräftig: Wer immer sich den USA entgegen stellt, hat mit deutlichen Konsequenzen zu rechnen.

Wenn alle Seiten kungeln, scheuen auch alle Seiten die Öffentlichkeit. Wem das als Begründung noch nicht genügt, der möge sich an das geflügelte Wort erinnern, in dem es heißt: „Es gibt nichts, was man nicht kaufen kann“…

Seit Edward Snowden sich entschlossen hat zu reden, wird die internationale Öffentlichkeit über die Aktivitäten westlicher Geheimdienste so genau informiert wie niemals zuvor. Niemand kann mehr behaupten, es handele sich dabei um Verschwörungstheorien – alles ist belegt.

Und was passiert? Die Öffentlichkeit, auch die deutsche, verhält sich, als gehe sie das alles nichts an. Als sehe sie einen Krimi im Fernsehen. Die Linken, deren Mitglieder sich teilweise noch bestens aus eigener Erfahrung an den Überwachungsstaat DDR erinnern, haben da schon eine andere Sensibilität. Insofern sollte sich ein mündiger Bürger durchaus einmal zumuten, ihnen zuzuhören, auch wenn sie von den anderen Parteien gern kalt gestellt werden. In Lateinamerika und im karibischen Raum gibt es ganze Regierungen, die angeblich unter „Paranoia“ leiden und überall Infiltrationen der US-Geheimdienste vermuten. Seit Snowden wissen wir: Paranoia geht anders…

Wenn nicht ein Knalleffekt eintritt, der jedem Einzelnen klar macht, was totale Überwachung bedeuten kann – vor allem, wenn man nicht mehr, wie wir heute, auf der Gewinnerseite steht – wird das wohl auch so bleiben.

So lange, bis es zu spät ist.

Siehe auch:

Alle wissen es, doch niemand spricht es aus: Deutschland ist nicht souverän

Wie manipuliert man Menschen?  

Manipulation: Einfach, wenn man weiß, wie’s geht – und sehr wirkungsvoll…

Warum wir nicht schweigen dürfen

Update: XML-„Bomben“ kommen über Outlook 

Update: Millionen Fotos aus den sozialen Netzen

Update: Antiterrordateigesetz soll novelliert werden

Update: Kleine Anfrage zum türkischen Geheimdienst in Deutschland

Update: Warnung aus UK: Massive Cyberattacken aus den USA erwartet

Update: Thomas de Maizière spricht sich für die Überwachung sozialer Netze in Echtzeit aus

Update: Grundrechtereport 2014: Geheimdienste im Informationskrieg gegen alle

Update: Ein Jahr Snowden: Was bisher geschah

Update: USA verstimmt über deutsche Ermittlungen

Update: Ausspähen sozialer Netzwerke vorerst gebremst

Update: CIA folgt dir jetzt auf twitter

Update: 200 US-Agenten in Deutschland als Diplomaten akreditiert und: BND mauert

Update: Reverse engeneering: Hacker bauen NSA-Programme nach

Update: BND schöpft internationalen Datenverkehr ab

Update: So unwissend war Deutschland wirklich – Snowden-Dokumente als PdF

Update: Kolumne: „Macht Amerika endlich platt“

Update: Staatstrojaner für Smartphones entdeckt

Update: So ehrlich sind BND und deutsche Politiker

Update: NSA: Anonym = Extremist,    Tor-Netzwerk im Visier

Update: NSA darf 192 Länder und Zop-Organisationen ausspähen

Update: Ex-NSA-Mitarbeiter vor dem Untersuchungsausschuss: NSA ist totalitär, BND arbeitet aktiv mit

Update: Ex-NSA-Direktor Binney: „Wir haben einen falschen Weg eingeschlagen“

Update: NSA-Untersuchungsausschuss greift zur Schreibmaschine

Update: Zur Ausreise aufgeforderter CIA-Mann bleibt einfach da

Update: So arbeiten Chinas Spione

Update: 007 mitten in Berlin…   Video dazu     Weitere Reaktionen

Update: Britische Spione können Meinung manipulieren

Update: Browser-Fingerabdruck macht Verstecken unmöglich

Update: CIA und BND über Jahrzehnte eng verbunden

Update: Frevel gegen den Rechtsstaat

Update: DARPA und die Fortschritte der totalen technischen Überwachung

Update: DARPA, Google und der kleine Totalüberwachungschip als Pille

Update: Zweiter Whistleblower enthüllt Details über US-Terrorverdachtsliste

Update: MonsterMind: NSA will mit eigenem Netz im Caberkrieg vollautomatisch zurückschlagen

Update: Neue Bundestrojaner im Einsatz

Update: Google für Geheimdienste heißt ICREACH

Update: In Bad Aibling spionieren NSA und BND gemeinsam und geheim

Update: Neue Handy-Verschlüsselung alarmiert das FBI

Update: Codename Eikonal: BND leitete geschützte Daten Deutscher an NSA weiter

Update: Trojaner „Regin“ entdeckt: so aufwendig wie Stuxnet

Update: Regin, die komplexe, versteckte Plattform

Update: Eikonal im Untersuchungsausschuss: Der Apotheker vom BND

Update: NSA-Untersuchungsausschuss ist eine Farce

Update: Regin steht im Dienst der „Five Eyes“

Update: FBI hat drei russische Spione enttarnt (englisch) und hier in deutsch

Update: Obama will mehr Datenaustausch, Silicon Valley nicht

Update: Tim Cook: „We risk our way of life“

Update: Facebook sees massive institutional buying

Update: „Todesstern der Malware-Galaxie“

Update: BND hat für NSA Unternehmen und Politiker ausgehorcht

Update: BND: Mit der Lizenz zum Lügen

Update: USA haben Freigabe der Selektorenliste gar nicht verboten…

Update: Datendeal mit der NSA

Update: U.S. court hands win to NSA over metadata collection

Update: EU-Bürger erhalten Klagerecht in den USA

Update: Grenzenlose Überwachung schreitet voran

Update: Wikileaks: Weinender Engel macht Fernseher zur Wanze

Update: How CIA hacks smartphones and TVs all over the world

Update: Wikileaks veröffentlicht tausende Dokumente

Update: Journalisten werden offenbar seit zehn Jahren beobachtet

Update: Statistik mit Hilfe von Handy-Apps

Update: Staatstrojaner greift jetzt auf Handys zu

Update: Investigativer Journalismus: Der BND hat ein Auge drauf

Update: Wir ahnungslosen Insassen der Funkzelle…

Update: eu-LISA: EU baut neue Super-Behörde zur Überwachung

Update: (CSU-)Innenministerium will Überwachung der Medien erlauben

Cyberwar aktuell: Immer neue Stuxnet-Ableger tauchen auf

Flame-Softwarecode: Neuer Verwandter ist kleiner und stärker spezialisiert

Entnommen Spiegel online

Die Familie der berüchtigten Cyberwaffe Stuxnet ist noch größer als bislang bekannt. Virenforscher haben eine weitere Malware ausgemacht, die mit Stuxnet und dem Spionageprogramm Flame verwandt ist. Der neu entdeckte Virus ist vergleichsweise klein, aber mächtig – ein „Präzisionswerkzeug“.

Die Forscher nennen den neuen Virus miniFlame, in Anlehnung an die bekannte Spionagesoftware Flame, die Kaspersky Lab bereits im Mai 2012 der Öffentlichkeit präsentierte. Während Flame jedoch ein ziemlicher Brocken ist, ein für einen Computervirus erstaunlich großes Stück Software mit einer Vielzahl potentieller Funktionen, sei miniFlame ein „hochpräzises, chirurgisches Angriffswerkzeug“, so die Fachleute der russischen IT-Sicherheitsfirma.

Er habe nur einige Dutzend Rechner befallen, vor allem imLibanon und in Iran. Betroffen sind demnach jedoch auch Computer in Frankreich und den USA. Auch Katar und Kuwait stehen auf der Liste – für einzelne Staaten scheinen sogar spezielle Varianten des Virus zu existieren.

Die Software sei ein „kleines, funktionales Spionagemodul, das für Datendiebstahl und direkten Zugang zu den infizierten System gestaltet wurde“, so die Forscher in einem Blogeintrag. Es basiere auf der gleichen Softwareplattform wie der ungleich größere Flame-Virus.

Während Flame Schätzungen zufolge 5000 bis 6000 Rechner befallen haben soll, ist miniFlame nur auf 50 bis 60 Computern installiert, glauben die Forscher. Nach StuxnetFlameGauss und Duqu wäre miniFlame das fünfte Mitglied einer ganzen Familie von Cyberwaffen, die alle aus der gleichen „Fabrik“ zu stammen scheinen, wie Kaspersky das ausdrückt. Die Virenfamilie gilt als erstes Beispiel für extrem aufwendige, von Nationalstaaten organisierte Cyber-Spionage und -Sabotage. Es gilt als wahrscheinlich, dass die USA und Israel hinter den Operationen stecken.

miniFlame als Nachhut?

Die Software könne beispielsweise benutzt werden, um Screenshots vom befallenen Rechner anzufertigen, Daten weiterzuleiten oder weitere Software dort zu installieren. Diese Art von direkter Einflussnahme auf die befallenen Rechner hätten weder Flame noch Gauss geboten, so die Forscher. Die Entwickler der Spionagesoftware selbst hätten miniFlame zwei unterschiedliche Namen gegeben, nämlich „John“ und „SPE“, so Kaspersky Lab.

Die Virenforscher vermuten, dass nur Rechner befallen worden sind, die bereits zuvor mit Flame oder dem Bankentrojaner Gauss infiziert wurden: Das Schadprogramm sei sowohl als Teil von Flame als auch als Teil von Gauss aufgetaucht und teile seine Kommando- und Kontrollserver (C&C) mit Flame. Die Kaspersky-Forscher vermuten, dass es von diesen C&C-Servern aus auf die befallenen Rechner geschmuggelt wurde. Flame und Gauss könnten die Daten geliefert haben, auf deren Basis anschließend die Ziele für miniFlame ausgewählt wurden.

Flame konnte danach von den betroffenen Rechnern gelöscht werden – der Lösch-Befehl aber hätte miniFlame unberührt gelassen. Der neue, kleinere Virus hätte den Rechner anschließend sogar gegen erneuten Flame-Befall immunisiert. Die Kaspersky-Forscher vermuten, dass für miniFlame auch eigene, bislang unentdeckte Kontrollserver existieren.

Enttarnt wurde miniFlame nur, weil Kaspersky sich Zugriff auf zwei Flame-C&C-Server verschafft hatte. Bei der Überwachung des Datenverkehrs von und zu diesen Servern sei man auf die mit miniFlame infizierten Computer gestoßen. Insgesamt habe man sechs Varianten des neuen Virus gefunden, so Kaspersky, die zwischen dem 1. Oktober 2010 und dem 1. September 2011 erstellt wurden. Besonders weit verbreitet sei eine Version von Juli 2011.

Bei Kaspersky ist man überzeugt, dass man noch mehr Mitglieder der Virenfamilie um Stuxnet und Flame finden wird. „Wir haben vermutlich nur die Oberfläche der massiven Cyber-Spionage-Operationen angekratzt, die im Nahen Osten im Gange sind“, heißt es im Bericht über miniFlame   – cis

Anatomie eines Hightech-Schädlings

Von Konrad Lischka und Christian Stöcker

Er kann Gespräche belauschen, Dateien übertragen, Chats protokollieren: Russische IT-Experten haben ein Spionageprogramm entdeckt, das rund tausend Rechner im Nahen Osten überwachen soll. Die Forscher nennen den Schädling „unglaublich komplex“. Ein Überblick, was der Virus kann.

Die Kaspersky-Forscher klingen fast ehrfürchtig, wenn sie sich zu der neu entdeckten Schadsoftware Flame äußern. Man habe es „mit einer der komplexesten Bedrohungen, die je entdeckt worden sind“ zu tun, schreiben die Mitarbeiter des russischen Antivirus-Unternehmens in ihrer Analyse des auf Rechnern im Nahen Osten entdeckten Schnüffelprogramms. Nach Stuxnet und Duqu ist Flame die dritte offenbar mit gewaltigem Aufwand produzierte Cyberwaffe, die Virenforscher in freier Wildbahn aufgespürt haben.

Das Zwanzig-Megabyte-Paket, das die vollständig entpackte Version von Flame darstellt, besteht aus einer Vielzahl von Modulen mit unterschiedlichen Kompressions- und Verschlüsselungstechniken. „Es ist ziemlich phantastisch und unglaublich, was die Komplexität angeht“, sagte Kaspersky-Forscher Alexander Gostev „Wired“. Flame enthält 20 Plug-ins, einzelne Softwaremodule, die ausgetauscht werden können, um den Angreifern die jeweils gewünschte Funktionalität zur Verfügung zu stellen.

Welchem Zweck dient das Schadprogramm?

Die Macher von Flame sind nicht auf das schnelle Geld aus – ihr Schadprogramm ist nicht auf Online-Banking oder andere lukrative Web-Anwendungen ausgerichtet. Die Kaspersky-Experten haben diese Eigenschaften beobachtet:

  • Flame kann interne Mikrofone befallener Rechner nutzen, um beispielsweise Gespräche in Büros oder aber Voice-over-IP-Telefonate aufzuzeichnen. Die Aufzeichnungen werden komprimiert gespeichert und regelmäßig an die Steuercomputer übertragen.
  • Die Schadsoftware zeichnet mit Screenshots Bildschirminhalte auf – besonders viele Screenshots werden immer dann gemacht, wenn bestimmte Anwendungen laufen, zum Beispiel Chatprogramme.
  • Bei der von den Kaspersky-Experten analysierten Flame-Version ist kein spezifisches Erkenntnisinteresse zu beobachten: Das Programm überträgt von befallenen Rechnern E-Mails und Dateien ohne besondere Einschränkung. Die Kaspersky-Experten schließen daraus, Flame sei ein allgemeines Werkzeug-Set für Cyberspionage – es könne aber auch Module für spezifische Angriffe und konkrete Ziele transportieren.
  • In jedem Fall ist die Software mit einer Hintertür ausgestattet, die das Nachladen von Komponenten gestattet – theoretisch ist Flame also eine Allzweckwaffe.
  • Nach der bisherigen Verbreitung zu urteilen, zielt Flame vor allem auf Rechner in Staaten im Nahen Osten und Nordafrika: Iran, Sudan, Syrien, Saudi-Arabien, Ägypten, Libanon und das Westjordanland sind Kaspersky zufolge betroffen.

Wie verbreitet sich Flame?

Wahrscheinlich gelangt der Virus bei gezielten Angriffen in Netzwerke und auf Einzelrechner: Eine auf bestimmte Empfänger zugeschnittene E-Mail verleitet sie dazu, eine Website aufzurufen oder eine angehängte Datei zu öffnen. Sobald sie das tun, beginnt die Infektion des gerade genutzten Rechners. Diese als „Spear Phishing“ bezeichnete Methode wird oft bei Spionage-Angriffen auf Regierungen, internationale Organisationen und Unternehmen genutzt.

Wie die Erstinfektion durch Flame abläuft, konnten die Kaspersky-Experten bislang nicht nachvollziehen. Sie vermuten allerdings, dass dabei eine Windows-Sicherheitslücke ausgenutzt wird.

Einmal auf einem Zielrechner aktiv, können die Befehlsgeber Flame verschiedene Module nachladen lassen, um weitere Computer zu befallen:

  • Infektion angeschlossener USB-Sticks: Die von Kaspersky untersuchte Flame-Version beinhaltet zwei Module zu diesem Zweck. Eines der Module nutzt einen Angriffsweg, den die Kasperksy-Experten bislang nur bei Stuxnet beobachtet haben.
  • Verbreitung in lokalen Netzwerken: Wie Stuxnet nutzt Flame dabei unter anderem eine Sicherheitslücke, die eine Infektion weiterer Rechner über Netzwerk-Drucker ermöglicht. Kaspersky berichtet, dass ein Windows-7-System auf neuestem Stand über ein lokales Netzwerk mit Flame infiziert wurde. Sie vermuten deshalb, dass Flame eine Sicherheitslücke ausnutzen könnte, die Microsoft bislang unbekannt war (eine sogenannte Zero-Day-Lücke).

Flame verbreitet sich kontrolliert, laut Kaspersky muss ein Befehlsgeber erst das Kommando zur Infektion weiterer Computer an eine Flame-Installation geben, angeblich zählt jede Installation der Schadsoftware die von ihr ausgehenden Angriffe, die Anzahl ist laut Kaspersky beschränkt.

Welche Rechner sind befallen?

Alles in allem sind Kasperskys Schätzungen zufolge etwa 1000 Rechner von den diversen Varianten von Flame befallen – dabei handelt es sich allerdings um eine Hochrechnung. Das Prinzip ist: Kaspersky extrapoliert von der Anzahl der befallenen Computer im Kreise der eigenen Kundschaft auf den Rest der digitalen Welt. Solche Schätzungen sind zwangsläufig ziemlich spekulativ. Ein spezifisches Muster konnten die Forscher bei den befallenen Rechnern bislang nicht ausmachen: „Die Opfer reichen von Einzelpersonen über gewisse staatliche Organisationen bis hin zu Bildungseinrichtungen.“ Klar scheint jedoch zu sein, dass sich die Opfer des Virus vorrangig im Nahen Osten befinden.

Eine Forschergruppe der Technischen Universität Budapest hat in den vergangenen Wochen parallel zu Kaspersky womöglich eine Variante derselben Schadsoftware analysiert. Die Budapester Forscher schreiben in ihrem Bericht, das von ihnen untersuchte Schadprogramm sei wahrscheinlich von Europa aus auf einer Analyseseite hochgeladen worden. Für die Budapester Gruppe ist es „offenkundig“, dass die von ihnen sKyWIper getaufte Schadsoftware „identisch“ mit dem Flamer genannten Schädling ist.

Symantec, ein Hersteller von Antiviren-Software, berichtet über Funde von Flamer-Varianten vor allem auf Rechnern in Ungarn, der West Bank, im Iran und Libanon. Auch in Österreich, Russland, Hongkong und den Vereinigten Arabischen Emiraten habe man Hinweise auf Flamer entdeckt – so wenige allerdings, dass es sich dabei auch um unterwegs genutzte, in anderen Staaten infizierte Laptops handeln könnte.

Wann wurde das Programm geschrieben?

Das genaue Geburtsdatum von Flame ist derzeit offenbar kaum zu bestimmen. Die Entwickler haben sich größte Mühe gegeben, den Entstehungszeitpunkt so gut wie möglich zu verschleiern. Unterschiedliche Module der komplexen Schadsoftware scheinen auf den ersten Blick in Jahren entwickelt worden zu sein. „Die Module scheinen von 1994 und 1995 zu stammen, aber der Code, den sie enthalten, kam erst 2010 heraus“, erklärte Kaspersky-Forscher Alexander Gostev „Wired„.

Die frühesten Spuren des Virus in freier Wildbahn, die Kaspersky auf den Rechnern seiner eigenen Kundschaft finden konnte, sind aus dem August 2010 datiert. Das Internetsicherheitsunternehmen Webroot listet jedoch eine Datei, deren Name im Flame-Paket vorkommt, jedoch schon im Dezember 2007 auf. Betroffen war damals ein Rechner in Europa, im April 2008 ein weiterer in Dubai. Dieser und ein weiterer mit Flame assoziierter Dateiname wurde Webroot zufolge am 1. März 2010 erstmals auf einem Rechner in Iran nachgewiesen.

Bei Kaspersky geht man davon aus, dass Flame spätestens ab „Februar bis März 2010“ aktiv war, möglicherweise auch schon früher. Die Forscher sind überzeugt, dass an dem Virus noch immer gearbeitet wird: „Seine Schöpfer führen in mehreren Modulen immer wieder Veränderungen durch, benutzen jedoch weiterhin dieselbe Architektur und dieselben Dateinamen.“ Einige der Module seien noch 2011 und sogar 2012 verändert worden.

Gibt es Verbindungen zu Stuxnet?

Auf den ersten Blick scheint Flame nicht aus dem gleichen Baukasten zusammengesetzt zu sein wie Stuxnet und Duqu. Die Plattform, die Kaspersky-Forscher „Tilded“ getauft haben, auf der Stuxnet und Duqu basieren, gehört nicht zum genetischen Code von Flame. „Flame und Stuxnet/Duqu wurden vermutlich von zwei unterschiedlichen Gruppen entwickelt“, schließen die Kaspersky-Forscher. Es sei allerdings möglich, dass die Autorenteams beider Virentypen Zugang zum gleichen Katalog von Sicherheitslücken gehabt hätten.

Flame nutze eine Infektionsmethode und eine bestimmte Sicherheitslücke, die auch in Stuxnet und Duqu zum Einsatz gekommen seien. Der nun neu entdeckte Flame-Virus basiere aber auf einer „vollkommen anderen Philosophie“. Möglich sei auch, dass Flame nach Stuxnet entwickelt worden sei und die Flame-Autoren Angriffswege und Sicherheitslücken aus den Veröffentlichungen über Stuxnet übernommen hätten. Bei Kaspersky ist man sich jedoch offenbar sicher, dass Flame von einem ähnlich professionellen Team konstruiert worden sein muss wie Stuxnet und Duqu. Möglicherweise als „paralleles Projekt für den Fall, dass ein anderes Projekt entdeckt wird“.

Das iranische Computersicherheitszentrum Maher sieht eine Verbindung zwischen Stuxnet, Duqu und Flame. Es scheine „eine enge Beziehung zu den gezielten Stuxnet- und Duqu-Attacken“ zu geben, so die Iraner, das schließe man aus „den Konventionen, nach denen die Dateinamen vergeben wurden, den Fortpflanzungsmethoden, dem Komplexitätslevel, der präzisen Zielgerichtetheit und superben Funkionalität“ der Schadsoftware.

In ihrem Umfang unterscheiden Stuxnet und Flame sich dramatisch: Alle Flame-Komponenten zusammengenommen verbrauchen 20 Megabyte Festplattenspeicher, während Stuxnet zwar mächtig aber extrem schlank war: Der Virus, der wohl Hunderte Uranzentrifugen in der iranischen Aufbereitungsanlage Natans zerstörte, war 500 Kilobyte klein. „Wired“ zitiert Kaspersky-Forscher Gostev mit den Worten, es werde wohl Jahre dauern, bis der gesamte Flame-Code analysiert ist: „Wir haben ein halbes Jahr gebraucht, um Stuxnet zu analysieren. Das hier ist 20 mal komplizierter. Es wird uns zehn Jahre kosten, alles vollständig zu verstehen.“

Das bisher bekannte Verbreitungsgebiet von Flame.

Siehe auch: USA nehmen sich das Angriffsrecht im Cyberwar

und Trapwire, das mächtige Fallen-Netz der USA 

Update: US-Gericht gestattet Google und Yahoo, die Mails ihrer User zu lesen

Update: Neues Gesetz erlaubt den USA den Angriff auf fremde Netze

Update: Equation-Gruppe: „Todesstern der Malware-Galaxie“