Kaspersky-Gründer und -CEO Eugene Kaspersky
Kaspersky-Gründer und -CEO Eugene Kaspersky (Bild: Alexey Sazonov/AFP/Getty Images)

Nach Stuxnet und Duqu Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Anzeige

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wiper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Iran, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.


Little_Green_Bot 29. Mai 2012

Ja, kann man so sehen, denn genau wie bei Stuxnet dürfte Israel der Urheber sein. Die...

Mister Tengu 29. Mai 2012

Soll das witzig sein?

Youssarian 29. Mai 2012

Sie verleiht dem Benutzer eine elitäre Aura.

bugmenot 29. Mai 2012

Ich glaube, da muss stehen 189 infizierte Rechner im IraN und nicht IraK ;)

Kommentieren




Anzeige

  1. Softwareentwickler (m/w) ASP.NET
    Softship AG, Hamburg
  2. Softwareentwickler/in
    Landeshauptstadt München, München
  3. IT Anwendungsentwickler / Supporter (m/w) MES Umfeld
    Endress+Hauser Wetzer GmbH + Co. KG, Nesselwang
  4. Produktmanager (m/w)
    BRUNATA Wärmemesser-Ges. Schultheiss GmbH + Co., Hürth

Detailsuche


Hardware-Angebote
  1. TIPP: Bis zu 60 € Cashback von MSI
    (2 Produkte müssen gekauft werden - Mainboard + Grafikkarte)
  2. MSI-Cashback-Produkte bei Alternate
  3. Sapphire Radeon R9 Fury Tri-X
    ab 546,75€

Weitere Angebote


Folgen Sie uns
       


  1. Sony Xperia Z5 Premium

    Ein 4K-Display macht noch längst kein 4K-Smartphone

  2. Ifa-Ausblick im Video

    Notebook mit Wasserkühlung, ein Smartphone und eine Uhr

  3. Samsung Gear S2 im Hands on

    Drehbarer Ring schlägt Touchscreen

  4. Mobiles Internet

    Vodafone überbrückt Warten auf DSL-Anschluss mit Surfstick

  5. Alienware X51 R3

    Mini-PC setzt auf interne WaKü und externe Grafikkarten-Box

  6. Cross-Site-Scripting

    Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

  7. Asynchronous Shader

    Nvidias Grafikkarten soll eine wichtige DX12-Funktion fehlen

  8. Huawei G8

    Neues Smartphone mit Fingerabdrucksensor für 400 Euro

  9. Pioneer XDP-100R

    Android-basierter Hi-Res-Audio-Player

  10. Verbraucherschützer

    Nicht über neue Hardware bei All-IP-Umstellung informiert



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 95 im Test: Endlich lange Dateinamen!
Windows 95 im Test
Endlich lange Dateinamen!
  1. Tool Microsoft Snip erzeugt Screenshots mit Animationen und Sprachmemos
  2. 20 Jahre im Einsatz Lebenserhaltende Maßnahmen bei Windows 95
  3. Vor dem Start von Windows 10 Steigender Marktanteil für Windows 7

Windows 10 IoT ausprobiert: Finales Windows auf dem Raspberry Pi 2
Windows 10 IoT ausprobiert
Finales Windows auf dem Raspberry Pi 2
  1. Orange Pi PC Bastelrechner für 15 US-Dollar
  2. Odroid C1+ Ausnahmsweise teurer, dafür praktischer und mit mehr Sound
  3. PiUSV+ angetestet Überarbeitete USV für das Raspberry Pi

Rare Replay im Test: Banjo, Conker und mehr im Paket
Rare Replay im Test
Banjo, Conker und mehr im Paket
  1. Elite Bundle Xbox One startet ein bisschen schneller
  2. Microsoft Warum Quantum Break nicht für Windows erscheint
  3. Xbox One DVR-Funktion erscheint vorerst nicht in Deutschland

  1. Re: Einfach dumm

    RienSte | 07:49

  2. Re: Gerade mal soviel Aufloesung wie ein Handy ...

    elidor | 07:48

  3. Re: Interessant da denkt noch jemand über das UI nach

    violator | 07:44

  4. Re: Erster Gedanke

    elidor | 07:41

  5. Re: Owncloud auf 1&1 Server?

    chefin | 07:36


  1. 07:00

  2. 22:52

  3. 19:00

  4. 18:14

  5. 18:09

  6. 17:34

  7. 16:42

  8. 16:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel