"Flame"

Bösartiger neuer Computervirus grassiert in Nahost

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Im Nahen Osten ist ein überaus trickreich programmierter Computervirus entdeckt worden, der offenbar vor allem Rechner im Iran attackiert.
Die von Kaspersky ermittelte geografische Verbreitung von "Flame"
Die von Kaspersky ermittelte geografische Verbreitung von "Flame"
Foto: Kaspersky Lab

Der Virus, von den russischen Experten bei Kaspersky Lab auf den Namen "Flame" getauft, hat neben Rechnern im Iran auch Systeme in Ägypten, Israel, Libanon, Palästina, Saudi-Arabien, Sudan und Syrien infiziert. Aktiv ist er offenbar seit mindestens 2010, blieb aber bislang unter dem Radar der Malware-Jäger weltweit.

Kaspersky kam "Flame" im Zuge der Untersuchung einer anderen Malware auf die Spur, um die die International Telecommunications Union (ITU) ersucht hatte. Dieser als "Wiper" oder auch "Viper" bezeichnete Schädling hatte Berichten aus dem Iran zufolge dort größere Mengen von Daten auf befallenen Rechnern gelöscht.

"Flame" enthält 20 Mal mehr Code als der "Stuxnet"-Virus, mit dem das iranische Atomprogramm sabotiert worden war. Und wie dieser dringt er über eine bekannte Windows-Schwachstelle in ungepatchte PCs ein. Die Urheber von "Stuxnet" und dessen weniger verbreitetem Ableger "Duqu" sind bis heute nicht bekannt. Aufgrund ihrer aufwendigen Programmierung wird aber in Fachkreisen angenommen, dass sie Teil eines gemeinschaftlichen Cyber-Angriffs aus den USA und Israel sein könnten.

"Flame" dient der ersten Analyse von Kaspersky zufolge vor allem dazu, die infizierten Rechner auf alle möglichen Arten und Weisen auszuspähen. Die Software ist unter anderem in der Lage, Screenshots abzugreifen, Instant-Messaging-Chats mitzuschneiden, das Mikrofon eine Rechners remote einzuschalten und Audiounterhaltungen aufzunehmen, Tastatureingaben abzugreifen und den Netz-Traffic zu sniffen. Die Malware ist modular aufgebaut und kann weiteren Code nachladen. Mehr Details finden Interessierte auch in einer ausführlicheren Beschreibung bei "WIRED".

"‘Flame‘ ist auf jeden Fall eine der komplexesten jemals entdeckten Bedrohungen", schrieb Kasperskys Forschungsleiter Alexander Gostev am Montag in einem Blog-Eintrag. "Er ist groß und unglaublich ausgeklügelt. Er definiert die Begriffe Cyberwar und Cyber-Spionage neu." Die detaillierte Analyse von "Flame" werde aufgrund von dessen Komplexität vermutlich Jahre dauern, so Gostev weiter.