computerwoche.de

Archiv

Flame-Malware hat noch Geschwister

19.09.2012
Kaspersky, Symantec, Impact und das BSI haben gemeinsam Server analysiert, die den Flame-Trojaner verteilten - mit überraschenden Erkenntnissen.

Wie Experten der Virenlabors der Security-Dienstleister Kaspersky und Symantec mitteilten, hat sich durch die Analyse einiger Botnetz-Knotenpunkte das genaue Alter der Malware her-ausfinden lassen. Für Flame, der im Frühsommer das erste Mal öffentlich bekannt wurde, sei demnach bereits im Dezember 2006 der erste Quellcode geschrieben worden. Die analysierten Command-and-Control-Server (C&C-Server) tarnten sich als Plattformen eines Content-Management-Systems namens "Newsforyou". Dieses CMS war jedoch alles andere als eine harmlose Website-Verwaltungszentrale: Es stellte den Angreifern ein Kontrollpanel zur Verfügung, über das sich beliebiger Code auf infizierte Computer schleusen und abgegriffene Client-Daten herunterladen ließen.

Um sich bei "Newsforyou" einzuloggen, war ein Passwort notwendig, das in den Sicherheitslabors bisher nicht entschlüsselt werden konnte. Symantec liegt zumindest der Passwort-Hash vor - sollte jemand dar-aus etwas extrahieren können, bittet das Unternehmen um Kontaktaufnahme: 27934e96d90d06818674b98bec7230fa.

Auch deutsche Anwender betroffen

Einer der C&C-Server, der im März 2012 ans Netz ging, soll innerhalb einer Woche rund 5,5 Gigabyte an kompromittierten Daten eingesammelt haben. Die meisten infizierten und ausspionierten Clients befanden sich nach Auskunft der Forscher im Iran und im Sudan, aber auch deutsche Anwender sollen von Flame-Infektionen betroffen gewesen sein.

Die Virenlabors kommen zu der Erkenntnis, dass "Newsforyou" nicht nur für Flame eingesetzt wurde, sondern auch die von vier anderen, bisher noch unentdeckten Cyber-Trojanern unterwanderten Bot-Clients überwachen und steuern kann. Kaspersky-Experte Vitaly Kamluk warnt ausdrücklich, dass wohl mindestens einer der Schädlinge nach wie vor aktiv ist.

Flame-Geschwister noch aktiv?

Im Rahmen der Analyse, bei der auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitwirkte, fanden die Virenforscher ferner heraus, dass ein weiterer C&C-Server, der im Mai dieses Jahres aufgesetzt worden war, den gerade bekannt gewordenen Flame unschädlich machen sollte. Damit sollten vermutlich weitere Nachforschungen über Beschaffenheit und Herkunft der Malware verhindert werden. Mit Hilfe von Honeypots konnten die Flame-Forscher feststellen, dass die Malware sich Ende Mai von selbst von den infizierten Bot-Clients entfernen sollte. Dieses Vorhaben zumindest hat nicht ganz funktioniert. Die genaue Herkunft von Flame und seinen "Geschwistern" liegt derweil immer noch im Dunkeln - Mutmaßungen gehen wie schon bei Stuxnet und Duqu von staatlichen Stellen aus. (sh)