Nach Stuxnet und Duqu: Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite
Kaspersky-Gründer und -CEO Eugene Kaspersky (Bild: Alexey Sazonov/AFP/Getty Images)

Nach Stuxnet und Duqu Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Anzeige

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wiper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Iran, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.


Little_Green_Bot 29. Mai 2012

Ja, kann man so sehen, denn genau wie bei Stuxnet dürfte Israel der Urheber sein. Die...

Mister Tengu 29. Mai 2012

Soll das witzig sein?

Youssarian 29. Mai 2012

Sie verleiht dem Benutzer eine elitäre Aura.

bugmenot 29. Mai 2012

Ich glaube, da muss stehen 189 infizierte Rechner im IraN und nicht IraK ;)

Kommentieren




Anzeige

  1. Mitarbeiter / innen für den IT-Bereich
    Landeshauptstadt München, München
  2. Web Designer (m/w)
    PRODINGER|GFB Tourismusmarketing, München
  3. (Senior-)Berater (m/w) SAP CRM
    Capgemini Deutschland GmbH, verschiedene Standorte
  4. Softwaretester / Testautomatisierer (m/w)
    TONBELLER AG, Bensheim

 

Detailsuche


Folgen Sie uns
       


  1. Photokina 2014

    Olympus stellt Open-Source-Kamerakonzept vor

  2. Neue iPhone-Modelle

    Apple hofft auf Android-Umsteiger

  3. Freies Betriebssystem

    Minix 3.3.0 läuft auf ARM

  4. Imsi-Catcher

    Catch me if you can

  5. Peering

    Netflix streamt mit 100 Gigabit nach Deutschland

  6. Totem

    VR-Headset mit Kameras und auch für Konsolen

  7. Eigene Tasten-Switches

    Logitech bringt Gaming-Tastatur für 180 Euro

  8. Assassin's Creed Unity

    Killer im Koop

  9. Mittelformatkamera H5D-50c

    Hasselblad mit WLAN

  10. Angelbird SSD2Go Pocket im Test

    Quadratisch, praktisch, schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de



Ultra High Definition: Scharf allein ist nicht genug
Ultra High Definition
Scharf allein ist nicht genug
  1. Ifa Vodafone Deutschland und Cisco bringen 4K-Set-Top-Box
  2. Alpentab Wienerwald Das Holztablet mit Bay Trail oder als Nobelversion
  3. Dell UltraSharp 27 Ultra HD 5K 27-Zoll-Monitor mit 5.120 x 2.880 Pixeln

Amazons Fire Phone im Kurztest: Überzeugendes Bedienungskonzept und clevere Funktionen
Amazons Fire Phone im Kurztest
Überzeugendes Bedienungskonzept und clevere Funktionen
  1. Trade-In Amazon.de kauft gebrauchte Smartphones und Tablets an
  2. Vor dem Netflix-Marktstart Amazons Video-Streaming-App für Android ist da
  3. Set-Top-Box Amazon.de verschiebt Lieferung für Fire TV auf 2015

NFC in der Analyse: Probleme und Chancen der Nahfunktechnik
NFC in der Analyse
Probleme und Chancen der Nahfunktechnik
  1. NFC iPhone 6 soll zum digitalen Portemonnaie werden
  2. Mini-PC Broadwell- und Braswell-NUCs laden Smartphones drahtlos

    •  / 
    Zum Artikel