Kaspersky-Gründer und -CEO Eugene Kaspersky
Kaspersky-Gründer und -CEO Eugene Kaspersky (Bild: Alexey Sazonov/AFP/Getty Images)

Nach Stuxnet und Duqu Cyberwaffe Flame ist per Lua scriptbar und enthält SQLite

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Anzeige

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wiper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal größer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Iran, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.


Little_Green_Bot 29. Mai 2012

Ja, kann man so sehen, denn genau wie bei Stuxnet dürfte Israel der Urheber sein. Die...

Mister Tengu 29. Mai 2012

Soll das witzig sein?

Youssarian 29. Mai 2012

Sie verleiht dem Benutzer eine elitäre Aura.

bugmenot 29. Mai 2012

Ich glaube, da muss stehen 189 infizierte Rechner im IraN und nicht IraK ;)

Kommentieren




Anzeige

  1. Software Entwickler Energie PHP / MySQL (m/w)
    CHECK24 Services GmbH, München
  2. Teamleiter / Senior System Analyst EDI (m/w)
    HAVI Logistics Business Services GmbH, Duisburg
  3. Softwareentwickler für mobile und Web-Applikationen (m/w)
    g/d/p Marktanalysen GmbH, Hamburg
  4. Technischer Projektleiter (m/w) Automotive
    Siemens AG, Erlangen

 

Detailsuche


Folgen Sie uns
       


  1. Streaming-Dienst

    Netflix-App für Amazons Fire TV ist da

  2. Pilot tot

    Spaceship Two stürzt in der Mojave-Wüste ab

  3. Bewegungsprofile

    Dobrindt wegen "Verkehrs-Vorratsdatenspeicherung" kritisiert

  4. Anonymisierung

    Facebook ist im Tor-Netzwerk erreichbar

  5. Spielekonsole

    Neuer 20-nm-Chip für sparsamere Xbox One ist fertig

  6. Günther Oettinger

    EU-Digitalkommissar will Urheberrechtssteuer für alle

  7. Ruhemodus

    Noch ein Bug in Firmware 2.0 der Playstation 4

  8. VDSL2-Nachfolgestandard

    Telekom-Konkurrenten starten G.fast-Praxistest

  9. Ego-Shooter

    Bethesda hat Prey 2 eingestellt

  10. Keine Bußgelder

    Sicherheitslücken bleiben ohne Strafen



Haben wir etwas übersehen?

E-Mail an news@golem.de



iPad Air 2 im Test: Toll, aber kein Muss
iPad Air 2 im Test
Toll, aber kein Muss
  1. Tablet Apple verdient am iPad Air 2 weniger als am Vorgänger
  2. iFixit iPad Air 2 - wehe, wenn es kaputtgeht
  3. iPad Air 2 Benchmark Apples A8X überrascht mit drei Prozessor-Kernen

Test Civilization Beyond Earth: Die Zukunftsrunde mit der Schuldenfalle
Test Civilization Beyond Earth
Die Zukunftsrunde mit der Schuldenfalle
  1. Civ Beyond Earth Benchmark Schneller, ohne Mikroruckler und geringere Latenz mit Mantle
  2. Take 2 34 Millionen GTA 5 ausgeliefert

Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

    •  / 
    Zum Artikel