Kaspersky Lab: Eine Variante der Cyberwaffe Flame ist weiter aktiv

Die Cyberwaffe Flame ist weiter aktiv. An der von Geheimdiensten geschaffenen Malware wurde seit 2006 gearbeitet.

Artikel veröffentlicht am ,
Kaspersky Lab: Eine Variante der Cyberwaffe Flame ist weiter aktiv
(Bild: Kaspersky Lab)

Mindestens eine Variante der Cyberwaffe Flame ist weiter aktiv. Das gab das IT-Sicherheitsunternehmen Kaspersky Lab am 17. September 2012 bekannt. Darauf weise die Analyse der Command-&-Control-Servers (C&C-Server) von Flame hin. "Die vermutlich von staatlicher Seite unterstützte Plattform datiert in ihren Anfängen bis auf das Jahr 2006 zurück", erklärte Kaspersky.

Stellenmarkt
  1. Mitarbeiter*innen (m/w/div) - IT-Sicherheit
    Deutsche Rentenversicherung Bund, Würzburg
  2. (Junior) Software Developer C# / .NET (m/w/d)
    WEGMANN automotive GmbH, Veitshöchheim, Würzburg
Detailsuche

Laut früheren Berichten ist Flame in der Lage, Screenshots anzufertigen und Audioaufnahmen über ein Mikrofon im Computer zu erstellen und an die Angreifer zu senden. Die Software kann auch Dateien ausspähen. Flame soll seit März 2010 zum Einsatz kommen, wurde aber jahrelang von keiner Sicherheitssoftware entdeckt. Der Umfang der Codes von Flame sei 20-mal größer als der von Stuxnet. Flame sei genau wie Stuxnet und Duqu als Cyberwaffe einzustufen, die von Staaten entwickelt wurde. Mindestens 80 Server in Deutschland, der Türkei, Italien und Vietnam seien von den Betreibern von Flame benutzt worden. Flame verbreitete sich über Microsofts Updatefunktion. Mikko Hypponen, Sicherheitsexperte bei F-Secure, glaubt deshalb, dass Microsoft von US-Geheimdiensten unterwandert ist.

Flame wurde offenbar von den USA und Israel entwickelt. Das hatte die Washington Post im Juni 2012 unter Berufung auf westliche Regierungsvertreter gemeldet, die Kenntnisse über Cyberwar-Aktivitäten haben. Flame sei gegen den Iran eingesetzt worden.

"Es war nicht einfach für uns, auf Basis der Analyse der Command-&-Control-Server den Umfang der von Flame gestohlenen Daten zu schätzen. Die Entwickler von Flame sind gut darin, Spuren zu verwischen", sagte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Allerdings half uns ein Fehler der Angreifer, auf einem der Server mehr Daten zu entdecken. Allein auf diesem Server wurden in einer Woche mehr als 5 GByte geladen, die von 5.000 infizierten Rechnern kamen. Das zeigt, wie massiv hier Cyberspionage betrieben wurde."

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    22.09.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    12.-16.09.2022, virtuell
Weitere IT-Trainings

Die Analyse der C&C-Server ergab, dass sich Flame als Content-Management-System tarnt. Solche in PHP programmierten Systeme erregten bei Webseitenhostern oder stichprobenartigen Untersuchungen weniger Verdacht. Als Betriebssystembasis dienen wegen ihrer Robustheit virtualisierte Debian-Server. Hochentwickelte Verschlüsselungsmethoden hätten die gestohlenen Daten geschützt.

Die C&C-Server erhalten ihre Daten von den infizierten Rechnern auf vier verschiedenen Kommunikationswegen. Nur ein Kommunikationsprotokoll wurde bislang von Flame eingesetzt. Da drei weitere Kommunikationsprotokolle existieren, die nicht von Flame verwendet werden, dürften mindestens drei weitere Typen von Schadsoftware existieren, deren Zweck im Augenblick nicht bekannt sei. Ein unbekannter Schadsoftware-Typ ist laut einem Sinkhole augenblicklich im Netz aktiv, sagte ein Kaspersky-Sprecher Golem.de.

Es gebe auch Anzeichen dafür, dass Flame weiterentwickelt werde. So wurde ein neues Protokoll mit dem Titel Red Protocol noch nicht vollständig eingerichtet. Die letzte Änderung des Servercodes wurde am 18. Mai 2012 von einem der Programmierer durchgeführt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /