Flame

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Flame ist ein Computerwurm, der modular (ca. 20 Einzelmodule) aufgebaut ist und ca. 1000 Rechner (vor allem im Nahen Osten) infizierte. Die Analyse ist noch nicht vollständig abgeschlossen.

Flame als ein vorwiegendes Spionageprogramm hat sich auf die Beschaffung von Informationen aller Art spezialisiert (z.B. Aufzeichnen von Screenshots, Tastatureingaben und Netzwerkverkehr; Nutzung von Rechnermikrofonen und Kameras zur Überwachung).

Was ist "Gauss"?

Im Rahmen der Untersuchungen zu Flame entdeckten Forscher einen Trojaner mit höherem Verbreitungsgebiet, der zahlreiche Ähnlichkeiten zu Flame aufweist. Das Ziel von Gauss scheint aber das Ausspionieren von Bankdaten zu sein, deshalb wird er auch als "Banking-Trojaner"[1] bezeichnet.


Weitere Varianten?

Neben Flame und Gauss soll es noch 2 weitere Varianten geben, deren Spuren bei den entsprechenden Nachforschungen entdeckt worden sind. Diese Varianten werden zwischenzeitlich mit miniFlame sowie Higgs-Trojaner (für die bisher noch nicht entdeckte Variante) bezeichnet[2].


Einordung

Ein Computerwurm (kurz Wurm) ist ein sich selbst reproduzierendes Programm oder Skript.


Besonderheiten

Neu ist die Funktionalität, auch mit Bluetooth-Geräten im Umfeld in Verbindung zu treten.


Verbreitung

Flame hat sich vermutlich hauptsächlich über das Windows-Update auf Rechnern verbreitet, indem es ein gefälschtes Zertifikat zur Authentifizierung verwendete. Eine weitere Möglichkeit war, analog Stuxnet, die Verbreitung per USB-Stick. Die Verbreitung war jedoch extra begrenzt angelegt, was die Entdeckung vermutlich auch so lange hinausgezögert hat.


Da Flame sich per Windows-Update nur in Zeitzonen östlich des Irans verbreitete, waren deutsche Nutzer vermutlich nicht betroffen[3]. Demgegenüber wird in einem Beitrag ("Flame-Malware hat noch Geschwister") im Printmedium Computerwoche 39/12 vom 24. September 2012 behauptet, dass auch deutsche Anwender von Flame-Infektionen betroffen gewesen seien sollen.


Bedeutung

Die Schadfunktionen blieben offenbar sehr lange von Virenschutzsoftware unentdeckt, obwohl dies seit dem Jahr 2007 bekannt war. Das lässt Zweifel an der Wirksamkeit von Antivirensoftware, wie auch schon im Fall Stuxnet, aufkommen. Auf Grund der Komplexität werden auch hier staatliche Auftraggeber (wie bei Gauss) vermutet.

Am Anfang des Jahres 2013 wurde ein weiterer Fall von massiver Computerspionage aufgedeckt (Fall Roter Oktober), der die Zweifel an der Wirksamkeit von Virenschutzprogrammen weiter verstärkt. Ein weiterer Fall, der bereits hunderte hochrangige Opfer betraf, sowie eine gezielte Cybersöldner-Attacke wurden von der Sicherheitsfirma Kaspersky Mitte 2013 (NetTraveler) bzw. Herbst 2013 (Icefog-Gruppe) gemeldet. Bereits seit dem Jahr 2007 soll die angeblich russische APT-Gruppe SOFACY (auch APT28, Fancy Bear, PawnStorm oder Strontium genannt[4][5][6]) aktiv sein, die auch für den Sicherheitsvorfall im Bundestag im Frühjahr 2015 verantwortlich sein soll. Ende 2014 wurde ein neues Spionage-Programm (Regin) entdeckt, welches jahrelang Betreiber von Telekom-Netzen (insbesondere in Russland und Saudi-Arabien sowie Belgien/Belgacom) ausgespäht haben soll und für das auf Grund der Softwarekomplexität nur staatliche Auftraggeber in Frage kommen. Vermutet wird hier ein Zusammenhang mit der Ausspähaffäre der Geheimdienste GCHQ und NSA. Gegen Regin-Infektionen wurde ein kostenloses Check-Tool auf Python-Basis entwickelt.


Weblinks


Einzelnachweis

  1. Banking-Trojaner "Gauss" vermutlich mit staatlichem Auftrag
  2. miniFlame - Der kleine Bruder des Spionagetrojaners Flame und
  3. Supervirus "Flame" tarnte sich als Windows-Update
  4. SecuPedia Aktuell: Neuer Report enthüllt Taktiken einer russischen APT-Gruppierung
  5. SecuPedia Aktuell: Russisch sprechende Hacker greifen europäische Politiker und Behörden an
  6. SecuPedia Aktuell: Neuer Apple-Trojaner der Sofacy-Gruppe


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 8. März 2017 um 13:19 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze und Peter Hohl.

Anzeigen