„Flame“ – neuer Trojanerbaukasten mit neuen Funktionen entdeckt
Spätestens seit der Entdeckung von Stuxnet waren sich die Experten einig, dass Geheimdienste auch damit beschäftigt sind, Schädlinge zu bauen und gezielt einzusetzen. Die Komplexität und der gezielte Einsatz ließen keine andere Folgerung zu. Jetzt wurde ein Trojanerbaukasten entdeckt, der noch viel komplexer und umfangreicher ist – und ganz neue Funktionen enthält. Die Hersteller der Virenscanner haben ihn „Flame“ genannt.
Stuxnet, der vor geraumer Zeit durch die Presse lief, weil er Zentrifugen von iranischen Urananreicherungsanlagen gezielt angreifen konnte, war schon eine Art Meisterwerk der Programmierkunst. Ein Schädling, der sich so viele bis dahin unbekannte Schwachstellen zur Verbreitung und Installation zu Nutzen machte, war bis dahin nicht bekannt. Jetzt haben die Virenforscher einen neuen Trojanerbaukasten gefunden, der noch wesentlich komplexer ist und einige zum Teil neue Funktionen enthält.
Was ist so neu an „Flame“?
Zunächst mal die Größe. Während die meisten Schädlinge versuchen, möglicht klein zu bleiben um nicht aufzufallen, hat Flame mit allen Modulen eine Größe von über 20 MB. Teile von Flame sind zudem unter Verwendung der Skriptsprache „Lua“ programmiert worden, was für die Herstellung von Schädlingen bislang auch nicht weit verbreitet war. Der Schädling zeigt sich auch nicht – wie sonst üblich – kompakt und klein, sondern arbeitet unter anderem mit Bibliotheken, die beim Startvorgang geladen werden, internen SQL-Datenbanken und mehrfacher Verschlüsselung. Insgesamt scheint Flame eine der komplexesten Schädlinge zu sein, die bislang entdeckt wurden.
Darüber hinaus hat Flame ein paar Funktionen, die bislang für Schädlinge eher unüblich waren. So kann Flame angeschlossene Mikrofone nutzen um Sprache und andere Töne aufzunehmen. Auch kann Flame Bluetooth-Schnittstellen nutzen, die der befallene Rechner hat. Damit ist der Zugriff auf per Bluetooth angeschlossene Geräte möglich, bzw. können Informationen über andere Bluetooth-Geräte gesammelt werden, die sich in Reichweite befinden.
Die Daten scheinen über verschlüsselte Verbindungen zu den Hintermännern geschickt zu werden. Ich kann der Spion anscheinend gezielt Screenshots anfertigen, wenn spezielle „interessante“ Anwendungen – wie zum Beispiel Chatprogramme oder Instant Messaging – aktiv sind.
Wie lange ist Flame schon aktiv?
Auch wenn man noch keine wirklich zuverlässigen Daten hat, scheint Flame ungefähr seit März 2010 aktiv zu sein. Zumindest ist das bislang einigermaßen sicher nachweisbar. Die Vermutungen der Experten gehen davon aus, dass Flame noch deutlich älter ist. Dafür gibt es momentan aber keine Beweise. Interessant ist, dass Flame bis heute aktiv weiterentwickelt wird.
Woher kommt der Name „Flame“?
Wie bei Malware üblich hat man den Namen aufgrund von speziellen Eigenschaften des Schädlings gewählt. Im konkreten Fall hat man eine Funktion in der Schadsoftware gefunden, die „InstallFlame“ im Namen hat. Diese Funktion ist für die Verbreitung des Schädlings zuständig und so hat man diesen Namen gewählt.
Wer hat Flame programmiert?
Auch wenn man das noch nicht sicher weiß (und vielleicht niemals wirklich wissen wird) gibt es Vermutungen, dass Flame ein Produkt staatlicher Spionage ist. Aus der Tatsache, dass Flame keinerlei finanzielle Interessen zu verfolgen scheint (es scheint keine Funktionen zu geben, die darauf ausgerichtet sind Konto- oder Kreditkartendaten zu stehlen), schließen die Forscher aus, dass es sich „nur“ um Kriminelle handelt. Der Umfang und die Qualität des Codes schließen aus, dass es sich um eine Art „Hobbyprojekt“ von Aktivisten handelt. So bleiben im Grundsatz nur Geheimdienste als Urheber. Zudem zielt Flame ganz deutlich auf eine bestimmte Region ab: den mittleren Osten. Flame scheint exakt dafür gebaut worden zu sein, möglichst viele Informationen in diesem Bereich zu sammeln. Dazu gehören Länder wie Iran, Libanon, Syrien und Israel.
Was macht Flame genau?
Das kann man unmöglich sagen. Es gibt um die 20 verschiedene Module, von denen jedes eine eigene, genau definierte Aufgabe erfüllt. Welche Module bei den Opfern jeweils aktiv sind, ist offen und variabel. Zusätzliche Module können jederzeit nachinstalliert werden. Insgesamt erweckt Flame den Eindruck, dass die Hauptaufgabe das Sammeln von allen möglichen unterschiedlichen Informationen ist.
Ist Flame mit Stuxnet verwandt?
Flame verwendet ist Teilbereichen die gleichen Techniken wie Stuxnet, so dass man davon ausgeht, dass die Entwickler vernetzt waren. Es scheint sich aber um eine im Wesentlichen eigenständige Entwicklung zu handeln.
Wie verbreitet sich Flame?
Flame kann sich über verschiedene Wege verbreiten. Dazu gehören sicher USB-Sticks und lokale Netzwerke, vermutlich aber auch E-Mail und Webseiten in Form von Drive-by-Infektionen. Bislang ist nicht bekannt, inwieweit bislang unbekannte Sicherheitslücken für die Verbreitung genutzt werden. Da aber Flame dabei beobachtet wurde, wie aktuelle Windows7-Systeme infiziert wurden, geht man schon davon aus, dass es möglich ist, dass sogenannten Zero-Day-Exploits vorhanden sind. So richtig weiß man das noch nicht und vermutlich wird die komplette Analyse des Schadcode über ein Jahr in Anspruch nehmen.
Zusammenfassend ist Flame ein gutes Beispiel dafür, dass die heutige Antivirensoftware weit davon entfernt ist, perfekt zu sein. Auch die Prozentangaben der gefundenen Schädlinge in vielen Tests sind nicht wirklich aussagekräftig, wenn es um neue, bislang unentdeckte Schadsoftware geht. Auch wenn der Schädling bis heute von den Virenscannern nicht entdeckt wurde, so ist das kein Grund davon auszugehen, dass man heute noch ohne Virenscanner arbeiten kann.
Wir werden Sie wieder informieren, wenn es relevante neue Informationen gibt. Weitere Infos bei Kaspersky und Securelist.com.
Fragen dazu? Diskussion erwünscht? Dann entweder bei uns im Forum oder auf Facebook…