Flame (Computerwurm)

Flame ist ein Schadprogramm, das im Mai 2012 vom Hersteller von Sicherheitssoftware Kaspersky Lab entdeckt worden ist, als es bereits für Angriffe in Rechnernetzen verwendet wurde.^[1]

Ebenso wie die beiden Schadprogramme Stuxnet und dessen Nachfolger Duqu wird es als eine ernste Bedrohung der Informationssicherheit im Internet eingestuft, zumal die Funktionalität und die Komplexität als noch größer eingeschätzt werden. Mit Flame befallene Computer können ferngesteuert und ausspioniert werden. Dazu können von der Schadsoftware zum Beispiel am Computer angeschlossene oder im Computer integrierte Mikrofone, Tastaturen und Bildschirme ausgewertet werden. Nach einer Infektion als Rootkit kann Flame sich auf andere Systeme über ein lokales Netzwerk oder per USB-Stick verbreiten.^[2]

Die Software wurde vor allem auf Computern im Nahen Osten nachgewiesen und ist schon seit spätestens März 2010 aktiv, gemäß heise.de schon seit spätestens 2007.^[3] Alle Regierungsorganisationen wurden von der Internationalen Fernmeldeunion (ITU) über die Entdeckung informiert, damit die CERTs gegebenenfalls Gegenmaßnahmen ergreifen können, um die Infrastrukturen zu schützen. Über die Herkunft des Schadprogramms wurde zunächst nichts bekannt. Es ist jedoch bemerkenswert, dass die Schadsoftware nur relativ wenige Computer befallen hat und die Infektionen offenbar nicht über das öffentliche Internet erfolgt sind.^[4] Herkömmliche Sicherheitssoftware kann solche Angriffe in der Regel nicht entdecken oder verhindern^[5], private Anwender werden jedoch durch Flame nicht bedroht.^[6]

Flame benötigt mit ungefähr 20 Megabyte ungewöhnlich viel nichtflüchtigen Datenspeicher, vereint verschiedene Malware-Techniken (insbesondere Backdoor-, Trojaner- und Wurmfunktionalitäten) in sich und stellt ein ganzes Malware-Toolkit dar.^[7] Kaspersky hat Flame unter dem Namen „Worm.Win32.Flame“ als Wurm klassifiziert;^[7] Avira führt Flame unter der Bezeichnung „TR/Flamer.A“ als Trojaner.^[8] Die Software konnte Windows-XP-, Vista- und Windows-7-Betriebssysteme^[9] über die Windows-Update-Funktion infizieren.^[10] Hierzu verwendete sie ein gefälschtes Code-Signing-Zertifikat, das durch einen MD5-Kollisionsangriff erzeugt wurde.^[11] Damit fängt Flame die Windows-Update-Anfrage eines Computers ab und leitet sie an einen infiltrierten Rechner weiter. Der ahnungslose Nutzer installiert dann eigenhändig die Schadkomponente. Im Falle einer Entdeckung durch einen Heuristikscanner oder eine Verhaltensanalyse ist Flame zudem mit einer Selbstzerstörungsfunktion ausgestattet, bei der die infizierten Rechner angewiesen werden, das Programm durch eine Uninstall-Routine selber zu löschen.

Als Urheber bzw. Autoren der Flame-Software werden von den Experten, die sie entdeckten, staatliche Organisationen angegeben. Laut Quellen der Washington Post wurde Flame von den USA und Israel gemeinsam entwickelt.^[12] Analysten von Kaspersky vermuten aufgrund der Ähnlichkeit von Teilen des Codes einen Austausch mit den Autoren von Stuxnet.^[13] Weiterhin sei eine große Anzahl an Servern und Personal vonnöten, um die in der freien Wildbahn befindlichen Flame-Installationen zu steuern und die damit abgegriffenen Daten zu empfangen und zu speichern.^[14]

Im Juli 2012 wurde bei der laufenden Untersuchung von Flame, Gauss und Duqu durch Kaspersky Labs eine weitere Variante von Flame entdeckt, die miniFlame getauft wurde.^[15] Es wird angenommen, dass miniFlame über Flame oder Gauss verbreitet wird. Im Gegensatz zu Flame sind nur rund fünfzig Computer befallen, jedoch sehr wichtige Rechner im Iran, dem Libanon und Kuwait.^[16]

Weblinks[Bearbeiten | Quelltext bearbeiten]

• IT-Experten decken komplexe Schadsoftware auf (Memento vom 30. Mai 2012 im Internet Archive) Tagesschau, 29. Mai 2012
• Computervirus Flame – Anatomie eines Hightech-Schädlings. Spiegel Online, 29. Mai 2012
• Martin Gropp: Das komplexeste Computervirus der Welt. FAZ, 29. Mai 2012
• Flame aktiviert Selbstzerstörungsmechanismus. Handelsblatt, 11. Juni 2012

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat – Virus News (englisch), abgerufen am 29. Mai 2012.
2. ↑ Entwickler von Stuxnet und Flame standen in Verbindung – PC Welt, abgerufen am 13. Juni 2012.
3. ↑ heise.de: Flame: Virenforschern geht Super-Spion ins Netz, abgerufen am 29. Mai 2012.
4. ↑ Jürgen Schmidt: FAQs zum Superspion Flame, www.heise.de, 30. Mai 2012, online abgerufen am 5. Juni 2012
5. ↑ Why antivirus companies like mine failed to catch Flame and Stuxnet, arstechnica.com online abgerufen am 7. Juni 2012
6. ↑ Computervirus "Flame" stellt keine Gefahr für deutsche Privatnutzer dar, www.derwesten.de online abgerufen am 7. Juni 2012
7. ↑ ^{a b} securelist.com: The Flame: Questions and Answers (englisch), abgerufen am 29. Mai 2012.
8. ↑ avira.com: Virenbeschreibung TR/Flamer.A, abgerufen am 29. Mai 2012.
9. ↑ „Capable of infecting Windows XP, Vista and 7 operating systems“ (Memento des Originals vom 30. Mai 2012 auf WebCite)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.certcc.ir Iran Computer Emergency Response Team, 28. Mai 2012
10. ↑ Windows Update kompromittiert. heise.de, 5. Juni 2012, abgerufen am 7. Juni 2012. 
11. ↑ Jonathan Ness (Microsoft): Flame malware collision attack explained. Abgerufen am 7. Juni 2012.
12. ↑ Ellen Nakashima, Greg Miller und Julie Tate: U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say
13. ↑ Kaspersky: Stuxnet und Flame sind doch verwandt. heise.de, 11. Juni 2012, abgerufen am 12. Juni 2012. 
14. ↑ Golem.de: Flame startet Selbstzerstörung, abgerufen am 8. Juni 2012
15. ↑ miniFlame – Der kleine Bruder des Spionagetrojaners Flame – heise.de, abgerufen am 19. Oktober 2012
16. ↑ Neuer Computer-Virus im Umlauf: „MiniFlame“ spioniert wichtige Rechner im Nahen Osten aus – Focus, abgerufen am 22. Oktober 2012