Anzeige
Kaspersky-Gründer und -CEO Eugene Kaspersky
Kaspersky-Gründer und -CEO Eugene Kaspersky (Bild: Alexey Sazonov/AFP/Getty Images)

Nach Stuxnet und Duqu Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Anzeige

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wiper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Iran, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.


eye home zur Startseite
Little_Green_Bot 29. Mai 2012

Ja, kann man so sehen, denn genau wie bei Stuxnet dürfte Israel der Urheber sein. Die...

Mister Tengu 29. Mai 2012

Soll das witzig sein?

Youssarian 29. Mai 2012

Sie verleiht dem Benutzer eine elitäre Aura.

bugmenot 29. Mai 2012

Ich glaube, da muss stehen 189 infizierte Rechner im IraN und nicht IraK ;)

Kommentieren




Anzeige

  1. PHP Entwickler (m/w)
    VEMA Versicherungs-Makler-Genossenschaft e.G., Heinersreuth (bei Bayreuth)
  2. Hardware-Integrator (m/w) für den Bereich Mobilfunk-Messtechnik
    ROHDE & SCHWARZ GmbH & Co. KG, München
  3. HR Experte (m/w) Prozessmanagement
    MBDA Deutschland, Schrobenhausen
  4. IT Specialist Security (m/w)
    Dr. August Oetker Nahrungsmittel KG, Bielefeld

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Quantum Break

    27-GByte-Patch deaktiviert das Upscaling

  2. Torsploit

    Früheres Mitglied der Tor-Entwickler half dem FBI

  3. Emulation

    Windows 95 auf der Apple Watch

  4. Valve Steam

    Zwei-Faktor-Authentifizierung hilft gegen Cheater

  5. Hitman

    Patch behindert Spielstart im Direct3D-12-Modus

  6. Peter Molyneux

    Lionhead-Studio ist Geschichte

  7. Deskmini

    Asrock zeigt Rechner mit Intels Mini-STX-Formfaktor

  8. Die Woche im Video

    Schneller, höher, weiter

  9. Ransomware

    Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt

  10. Kabelnetzbetreiber

    Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Das Flüstern der Alten Götter im Test: Düstere Evolution
Das Flüstern der Alten Götter im Test
Düstere Evolution
  1. E-Sports ESL schließt Team Youporn aus
  2. Blizzard Hearthstone-Cheat-Tools verteilen Malware
  3. Blizzard Hearthstone sperrt alte Karten im neuen Standardmodus

PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
PGP im Parlament
Warum mein Abgeordneter keine PGP-Mail öffnen kann

Nordrhein-Westfalen: Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
Nordrhein-Westfalen
Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
  1. FTTH Deutsche Glasfaser will schnell eine Million anschließen
  2. M-net Glasfaser für 70 Prozent der Münchner Haushalte
  3. FTTH Telekom wird 1 GBit/s für Selbstbauer überall anbieten

  1. Re: Rückerstattung

    gaym0r | 07:57

  2. Re: Konsolenschrott

    exxo | 07:54

  3. Trotzdem ein gutes Spiel

    FrankKi | 07:52

  4. Re: Black & White war ein echt mieses Spiel

    AllDayPiano | 07:42

  5. Re: Ich will kein Ultrasuperschweres Game, bei...

    DAASSI | 07:24


  1. 14:52

  2. 11:42

  3. 10:08

  4. 09:16

  5. 13:13

  6. 12:26

  7. 11:03

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel