Kaspersky entdeckt drei neue Mitglieder der Malware-Familie Flame

Alexander Gostev kämpft an vorderster Front gegen die Cybermafia.
Quelle: Kaspersky.

Die neuen Erkenntnisse konnten durch die forensische Analyse von zwei Kommando- und Kontrollservern gewonnen werden. An den Untersuchungen waren die UN-Organisation ITU, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Sicherheitsfirma Symantec beteiligt.

Auf den Servern gespeicherte Inhalte konnten gesichert werden, obwohl die Kontroll-Infrastruktur von Flame unmittelbar nach Entdeckung der Spionage-Malware offline ging. Es fanden sich sogar Anzeichen dafür, dass die Plattform noch immer in der Entwicklung war. Auf den ersten Blick schienen die Server ein Content Management System (CMS) bereitzustellen – das diente offenbar der Tarnung, um den eigentlichen Zweck vor Hosting-Providern oder zufälligen Untersuchungen zu verbergen.

Während der Entwicklungsbeginn von Flame zunächst auf das Jahr 2010 datiert worden war, begann die Entwicklung offenbar schon im Dezember 2006. Die Server konnten die Daten infizierter Maschinen mit vier verschiedenen Protokollen empfangen, und nur eines davon kam bei den mit Flame angegriffenen Rechnern zum Einsatz. Aus dem Vorhandensein der weiteren Protokolle schließen die Sicherheitsforscher, dass mindestens drei mit Flame verwandte Schadprogramme geschaffen wurden. Ihr Einsatzzweck ist noch unbekannt, aber eine dieser Varianten soll derzeit “in freier Wildbahn” unterwegs sein.

Betrieben wurden die Kontrollserver mit 64-Bit-Versionen von Debian Linux. Der Servercode war überwiegend in der Skriptsprache PHP geschrieben. Die Autoren der Malware sorgten mit aufwendigen Verschlüsselungsmethoden dafür, dass nur sie selbst auf Daten zugreifen konnten, die von infizierten Computern zu den Servern hochgeladen wurden. Die Zielrechner erreichte Flame als manipuliertes Update für Microsoft Windows.

“Es war selbst nach der Analyse seiner Kommando- und Kontrollserver schwierig für uns, die Menge der von Flame gestohlenen Daten zu schätzen”, erklärte Alexander Gostev vom Antivirus-Spezialisten Kaspersky. “Die Autoren von Flame sind gut darin, ihre Spuren zu verwischen.” Die Angreifer hätten dennoch einen Fehler begangen, durch den die Sicherheitsforscher mehr Einblick gewannen. “Wir können daher sehen, dass auf einen bestimmten Server in einer Woche über fünf GByte an Daten hochgeladen wurden, die von über 5000 infizierten Maschinen stammten. Das ist sicher ein Beispiel für Cyber-Spionage von gewaltigem Umfang.”

Nach Informationen der Washington Post stecken hinter der Malware Flame die USA und Israel. Das berichtete die Zeitung schon im Juni und berief sich dabei auf offizielle Regierungskreise. Demnach sollte Flame Informationen sammeln, die für einen größer angelegten Cyberangriff gegen den Iran eingesetzt werden können. Ziel sei es, die islamische Republik daran zu hindern, eine Atomwaffe zu bauen.

Die Malware Flame soll im großen Stil iranische Computernetze infiltriert und eine erhebliche Menge Informationen zurückgesendet haben. Dabei seien auch Teile von Stuxnet verwendet worden. Flame sowie Stuxnet gehörten demnach zu einem größeren und noch immer andauernden Angriff.

[mit Material von Rachel King, News.com]

Redaktion

Recent Posts

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

23 Stunden ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

2 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

2 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

2 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

3 Tagen ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

3 Tagen ago