Kaspersky: “MinFlame eine hochpräszise Angriffswaffe”

>Kaspersky Lab hat eine weitere Variante der Malware Flame gemeldet. Sie wird in einem Blogeintrag als “miniFlame” oder auch SPE bezeichnet. Die Software ist demnach seit Juli bekannt, galt bisher aber als Modul von Flame selbst.

Flame-Familie (Bild: Kaspersky)

“Während einer intensiven Analyse der Struktur der Command & Control Server von Flame im September 2012 stellte sich heraus, dass miniFlame auch als unabhängiges Programm eingesetzt werden kann sowie als Plug-in für Flame und Gauss funktioniert”, teilt Kaspersky mit. Es arbeite als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systeme spezialisiert ist.

“miniFlame ist eine hochpräzise Angriffswaffe. Höchstwahrscheinlich dient sie als zweite Welle einer Cyber-Attacke”, sagt Alexander Gostev, Chief Security Expert von Kaspersky Lab. “Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen. Die Entdeckung von miniFlame ist für uns auch eine weitere Bestätigung der Vermutung, dass die Entwickler der bekanntesten Cyberwaffen zusammenarbeiten: Stuxnet, Duqu, Flame und Gauss.”

Nach Einschätzung von Kaspersky hat die Entwicklung von miniFlame Anfang 2007 begonnen und dauerte bis Ende 2011. Bisher wurden sechs Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden. Die Sicherheitsexperten jedoch gehen von weiteren Varianten aus.

miniFlames Infektionsrate ist aber wesentlich niedriger als die von Flame oder Gauss. Nach den Daten von Kaspersky Lab dürften nur etwa 10 bis 20 Maschinen infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner soll bei 50 bis 60 Stück liegen. Möglicherweise wird miniFlame für sehr gezielte Cyber-Spionage eingesetzt – und zwar auf Rechnern, die schon mit Gauss oder Flame infiziert waren.

Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots, insbesondere während Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client laufen. Die Daten lädt miniFlame auf C&C-Server, die auch von Flame genutzt werden. Durch die Anfrage des miniFlame-C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.

[mit Material von Florian Kalenda, ZDNet.de]

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

2 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago