Kaspersky-Gründer und -CEO Eugene Kaspersky
Kaspersky-Gründer und -CEO Eugene Kaspersky (Bild: Alexey Sazonov/AFP/Getty Images)

Nach Stuxnet und Duqu Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Anzeige

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wiper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Iran, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.


Little_Green_Bot 29. Mai 2012

Ja, kann man so sehen, denn genau wie bei Stuxnet dürfte Israel der Urheber sein. Die...

Mister Tengu 29. Mai 2012

Soll das witzig sein?

Youssarian 29. Mai 2012

Sie verleiht dem Benutzer eine elitäre Aura.

bugmenot 29. Mai 2012

Ich glaube, da muss stehen 189 infizierte Rechner im IraN und nicht IraK ;)

Kommentieren




Anzeige

  1. Senior Softwareentwickler C# / .NET (m/w)
    PLSCOM GmbH, Berlin
  2. Software Entwickler Systemidentifikation und Regelungstechnik (m/w)
    GIGATRONIK Technologies GmbH, Ulm und Stuttgart
  3. Bereichsleiter (m/w) Entwicklung Personalsoftware
    AKDB, München
  4. Softwareentwickler / Softwareentwicklerin Java Produktkonfigurator
    CAS Software AG, Karlsruhe

 

Detailsuche


Folgen Sie uns
       


  1. Speedport Hybrid

    Viprinet erwirkt einstweilige Verfügung gegen Telekom-Router

  2. Actionkameras

    Gopro plant eigene Drohnenproduktion

  3. ISSpresso

    IIS-Astronauten können jetzt Espresso trinken

  4. Richterlicher Beschluss

    US-Justiz umgeht Smartphone-Verschlüsselung

  5. Sony

    Smartwatch mit Armband aus E-Paper geplant

  6. Samsung SDC

    Displays werden bunter, biegsamer und fast durchsichtig

  7. Mozilla

    Ein-Klick-Suche im Firefox

  8. EU-Richtlinien beschlossen

    Recht auf Vergessen soll weltweit gelten

  9. Rekord

    Apple kommt Börsenwert von einer Billion US-Dollar näher

  10. Systemd und Launchd

    FreeBSD-Gründer sieht Notwendigkeit für modernes Init-System



Haben wir etwas übersehen?

E-Mail an news@golem.de



Zbox Pico im Test: Der Taschenrechner, der fast alles kann
Zbox Pico im Test
Der Taschenrechner, der fast alles kann

Smarthome: Das intelligente Haus wird nie fertig
Smarthome
Das intelligente Haus wird nie fertig
  1. Smart Home Das vernetzte Zuhause hilft beim Energiesparen
  2. Leuchtmittel Die Leuchtdiode kommt aus dem 3D-Drucker
  3. Agora, Energy@home und EEBus Einheitliche Sprache für europäische Smart Homes

Spieleklassiker: Retrogolem spielt Star Wars X-Wing (DOS)
Spieleklassiker
Retrogolem spielt Star Wars X-Wing (DOS)

    •  / 
    Zum Artikel