Neue Untersuchung weist auf drei neue Flame-verwandte Schadprogramme hin

17. September 2012
Viren-News

Moskau/Ingolstadt, 17. September 2012 - Kaspersky Lab gibt neue Erkenntnisse rund um die Cyberspionage-Plattform 'Flame' bekannt. Die Analyse der 'Command & Control'-Server (C&C-Server) von Flame weist auf weitere Schadsoftware hin, wovon wenigstens noch eine im Netz aktiv sein dürfte. Die vermutlich von staatlicher Seite unterstützte Plattform datiert in ihren Anfängen bis auf das Jahr 2006 zurück. Die Kaspersky Lab-Untersuchungen wurden gemeinsam mit der IMPACT (Cybersicherheitsabteilung) der ITU, CERT-Bund/BSI und Symantec durchgeführt.

'Es war nicht einfach für uns, auf Basis der Analyse der 'Command und Control'-Server den Umfang der von Flame gestohlenen Daten zu schätzen. Die Entwickler von Flame sind gut darin, Spuren zu verwischen', so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. 'Allerdings half uns ein Fehler der Angreifer, auf einem der Server mehr Daten zu entdecken. Allein auf diesem Server wurden in einer Woche mehr als fünf Giga-Byte an Daten geladen, die von 5.000 infizierten Rechnern kamen. Das zeigt, wie massiv hier Cyberspionage betrieben wurde.'

Neue Details zur Cyberspionage-Plattform Flame

Die Analyse der C&C-Server ergab, dass Flame sich als Content-Management-System tarnt. Solche Systeme zur professionellen Erstellung und Verwaltung von Webseiten sind in PHP programmiert und erregen bei Webseiten-Hostern oder stichprobenartigen Untersuchungen weniger Verdacht. Als Betriebssystembasis dienen virtualisierte Debian Server, ein besonders robustes 64-Bit Linux-Betriebssystem. Es werden überdies ausgefeilte Verschlüsselungsmethoden eingesetzt, damit lediglich die Angreifer auf die gewonnenen Daten zugreifen können. Hier die wichtigsten Ergebnisse kurz zusammengefasst:

  • Im Gegensatz zur vorher gehenden Einschätzung datiert der Entwicklungsbeginn von Flame bereits auf das Jahr 2006.
  • Die C&C-Server erhalten ihre Daten von den infizierten Rechnern auf vier verschiedenen Kommunikationswegen. Nur ein Kommunikationsprotokoll wird bislang von Flame eingesetzt.
  • Die Existenz von drei weiteren Kommunikationsprotokollen, die nicht von Flame verwendet werden, ist ein starkes Indiz dafür, dass wenigstens drei weitere Typen von Schadsoftware existieren, deren Zweck im Augenblick nicht bekannt ist.
  • Davon ist ein unbekannter Schadsoftware-Typ augenblicklich im Netz aktiv.
  • Es gibt auch Anzeichen dafür, dass Flame weiterhin in Entwicklung ist. So wurde ein neues Protokoll namens 'Red Protocol' noch nicht vollständig eingerichtet. Die letzte Änderung des Server-Codes wurde am 18. Mai 2012 von einem der Programmierer durchgeführt.
  • Es gibt keine Hinweise darauf, dass die C&C-Server von Flame für Stuxnet oder Gauss eingesetzt wurden.

Die Cyberspionage-Plattform Flame wurde ursprünglich im Mai 2012 während einer Untersuchung für die ITU (International Telecommunication Union) von Kaspersky Lab aufgedeckt. Daraufhin hat die ITU ihre 144 Mitgliedsnationen alarmiert und Empfehlungen zur Abwehr gegeben. Die Komplexität des Codes und nachgewiesene Verbindungen zu den Stuxnet-Entwicklern deuten darauf hin, dass Flame eine weitere Komponente einer Cyberwar-Strategie ist, die von staatlicher Seite betrieben wird.

Ein Blogbeitrag zum Thema findet sich auf http://www.securelist.com/en/blog/750/Full_Analysis_of_Flames_Command_Control_servers

Ein aktualisiertes Dokument mit Fragen und Antworten befindet sich hier: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

 Share this page