Handelsblatt

MenüZurück
Wird geladen.

29.05.2012

18:53 Uhr

Schadsoftware Flame

Israel schürt Cyber-War-Verdacht

Steckt Israel hinter der Cyber-Waffe „Flame“? Solche Vermutungen schürt Israels Vize-Premier Jaalon. „Flame“ scheint zudem von Programmierern zu stammen, die schon Attacken auf iranische Industrieanlagen gestartet haben.

Der Screenshot zeigt einen kleinen Ausschnitt des Quellcodes des Computer-Schädlings Flame, der vom russischen Antivirus-Unternehmen Kaspersky entdeckt und analysiert wurde. dpa

Der Screenshot zeigt einen kleinen Ausschnitt des Quellcodes des Computer-Schädlings Flame, der vom russischen Antivirus-Unternehmen Kaspersky entdeckt und analysiert wurde.

Moskau/BerlinIT-Experten bezeichnen ihn als den machtvollsten Computer-Virus, den sie je gesehen haben: Das vom russischen Antivirus-Unternehmen Kaspersky Lab entdeckte Sabotageprogramm Flame spioniert seit über drei Jahren Computeranwender und Netzwerke im Iran, Nahen Osten und Nordafrika aus. „Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen“, sagte Firmen-Chef Eugene Kaspersky am Dienstag.

Wer genau hinter der Programmierung von Flame steckt, konnte Kaspersky nicht sagen. In Israel schürte Vize-Premierminister Mosche Jaalon Gerüchte, sein Land stehe hinter der Cyber-Attacke. In einem Interview des Armeerundfunks sagte Jaalon, Israel sei damit „gesegnet, eine Nation zu sein, die überlegene Technologie besitzt“. „Diese Errungenschaft eröffnet uns alle möglichen Optionen.“ Die israelische Botschaft in Berlin hatte Handelsblatt Online zuvor auf Anfrage mitgeteilt, dass es keine offizielle Stellungnahme Israels zu Flame gebe.

Cyber-Waffe Flame: „So etwas habe ich in meinem Leben noch nicht gesehen“

Cyber-Waffe Flame

„So etwas habe ich in meinem Leben noch nicht gesehen“

Flame ist die neueste hochkomplexe Cyber-Waffe, die auf Hunderten Rechnern entdeckt wurde. Kaspersky-Experte Vitaly Kamluk erklärt, wer dahinter steckt und was die Software zu einem besonders wandelbaren Angreifer macht.

Hinter dem neu entdeckten und auf Spionage spezialisierten Computervirus Flame stecken offenbar die bislang unbekannten Hacker, die vor zwei Jahren mit dem Virus Stuxnet iranische Atomanlagen attackiert haben. „Wir glauben, dass dieselben Programmierer beide Codes entwickelt haben“, sagte der Direktor des israelischen Sicherheitsunternehmens Power Communications, Ilan Froimovici, am Dienstag. Beide Viren nutzten dieselben Schwachstellen in den attackierten Systemen aus.

Die Regierung im Iran reagierte auf die Berichte über Flame mit einer scharfen Attacke auf Israel. Der iranische Außenamtssprecher Ramin Mehmanparast sagte auf einer Pressekonferenz in Teheran, Flame sei „nichts Wichtiges“. „Es gibt nun mal illegitime Regime, die nur eines im Sinn haben: Verbreitung von Viren, um anderen Ländern zu schaden. Man sollte daher versuchen, nicht nur diese Viren, sondern auch die Ursache dieser Viren auszutrocknen.“

Fakten zum Flame-Virus

Mikrofone aktivieren

Nach Beobachtungen der Experten von Kaspersky kann Flame die Mikrofone befallener Rechner aktivieren. So kann die Schadsoftware einfach nur den Gesprächen im Büro lauschen oder Sprachanrufe über das Internet mitschneiden.

Screenshots anfertigen

Ähnlich wie Sprachaufnahmen kann Flame auch den Bildschirminhalt verfolgen. Dazu speichert das Virus immer wieder Screenshots ab, die von Zeit zu Zeit an den Steuerrechner übertragen werden. Auffällig ist, dass die Häufigkeit der Screenshots bei Chatprogrammen deutlich höher ist.

Kein Erkenntnisinteresse

Flame scheint die Daten nicht zu filtern. So werden laut Kaspersky beispielsweise nicht sämtliche E-Mails zu einem bestimmten Thema kopiert, dies scheint ohne Einschränkung zu geschehen.

Zusätzliche Module

Für Flame sind laut Kaspersky rund 20 Plugins erhältlich. Damit lassen sich die allgemeinen Funktionen von Flame spezialisieren, indem man das entsprechende Modul durch die Hintertüre nachrüstet.

Naher Osten im Fokus

Die bekannten Fälle sind im Iran befallen (189) aufgetreten, auf Rang zwei liegt Israel mit 98 infizierten PCs. Der Sudan (32), Syrien (30), Libanon (18) und Saudi-Arabien (10) folgen.

Wie viele Rechner könnten befallen sein?

Nach Angaben von Kaspersky sind rund 600 mit Flame infizierte Rechner bekannt, es könnten aber auch einige Tausend betroffen sein. Dabei rechnet das Unternehmen allerdings die Vorfälle bei ihren Kunden auf die gesamte Internetwelt hoch - was aber eben nicht mehr als eine Hochrechnung ist.

Verbreitungsweg 1

Eine Möglichkeit, einen Rechner zu infizieren, ist die Verbreitung per USB-Stick. Dabei ähnelt der Programmcode eines Flame-Moduls laut Kaspersky auffallend dem Stuxnet-Virus, das iranische Atomanlagen angegriffen hat.

Verbreitungsweg 2

Die Schadsoftware kann sich auch über lokale Netzwerke verbreiten. Dazu nutzt das Virus vermutlich auch Sicherheitslücken im Betriebssystem aus, die bisher noch nicht bekannt waren. Die Schadsoftware wurde auch auf aktualisierten Windows-7-Systemen gefunden.

Wie lange gibt es Flame schon?

Flame soll seit mindesten März 2010, also seit über zwei Jahren, zum Einsatz kommen.

Was ist neu an Flame?

Im Gegensatz zu seinen Vorgängern Stuxnet und Duqu - die auf demselben Baukasten wie Flame basieren - geht das neue Virus zielgerichteter vor und ist damit schwerer zu erkennen. Insgesamt ist der Programmcode von Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird. Zudem wird die Sciptsprache Lua verwendet, was für Schadsoftware ungewöhnlich ist.

Die iranische Nachrichtenagentur Fars berichtete, dass viele Daten der iranischen Behörden von dem Flame Virus entweder gelöscht oder gestohlen wurden. Weitere Einzelheiten wurden nicht genannt. Das iranische Telekommunikationsministerium und seine IT-Abteilung Maher verkündeten am Dienstag, dass sie ein spezielles Programm entworfen haben, das die iranische Behörden gegen komplizierte Viren, wie auch Flame, schützen würde.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

DieSockenfressendeWaschmaschine

29.05.2012, 19:58 Uhr

Viren nach Betriebssystem. Dann mal schauen was so ein Virus macht wenn er keine WINSOCK2.dll vorfindet mit der er kommunizieren kann gegen die er in 90% der Fälle gelinkt sein dürfte falls er was mit dem Internet macht.

Kacper-Kramer@bbnplanet.com

29.05.2012, 20:05 Uhr

IP/Port Range Scan ist übel wenn im gescannten Range KOSTENPFLICHTIGE Wählverbindungen von Routern ausgelöst werden. Sehr gute Idee nach sowas zu suchen ist ein MX niedriger priorität (Hoher MX Zahlenwert) da von außen eine gegnerische Routingtabelle nie einsehbar ist, die MX Backups eiens Ntezs allerdings immer.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×