Spionage-Malware Flame hat wohl einige Schwestern

Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr
Die vor einiger Zeit gefundene Spionage-Malware Flame hat offenbar einige Verwandte, von denen ein Teil noch aktiv sein dürfte. Das ist das Ergebnis einer Analyse der Command & Control (CnC)-Server durch den russischen Security-Dienstleister Kaspersky Lab.
Dieser arbeitete dabei mit der US-Telekomunikationsbehörde ITU, dem CERT-Bund/BSI und Symantec zusammen. Man kam dabei zu dem Ergebnis, dass die vermutlich von staatlicher Seite unterstützte Flame-Plattform in ihren Anfängen bis auf das Jahr 2006 zurückdatiert.

"Es war nicht einfach für uns, auf Basis der Analyse der 'Command und Control'-Server den Umfang der von Flame gestohlenen Daten zu schätzen. Die Entwickler von Flame sind gut darin, Spuren zu verwischen", erklärte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Allerdings half uns ein Fehler der Angreifer, auf einem der Server mehr Daten zu entdecken. Allein auf diesem Server wurden in einer Woche mehr als fünf Gigabyte an Daten geladen, die von 5.000 infizierten Rechnern kamen. Das zeigt, wie massiv hier Cyberspionage betrieben wurde."

Die Analyse der C&C-Server ergab, dass die Flame-Plattform sich auf Servern als Content-Management-System tarnt. Solche Systeme zur professionellen Erstellung und Verwaltung von Webseiten sind in PHP programmiert und erregen bei Hostern oder stichprobenartigen Untersuchungen weniger Verdacht. Als Betriebssystembasis dienen virtualisierte Debian-Server. Es werden überdies ausgefeilte Verschlüsselungsmethoden eingesetzt, damit lediglich die Angreifer auf die gewonnenen Daten zugreifen können.

Die C&C-Server erhalten ihre Daten von den infizierten Rechnern auf vier verschiedenen Kommunikationswegen. Nur ein Kommunikationsprotokoll wird allerdings bislang von Flame eingesetzt. Die Existenz von drei weiteren Kommunikationsprotokollen, die nicht von Flame verwendet werden, sei ein starkes Indiz dafür, dass wenigstens drei weitere Typen von Schadsoftware existieren, deren Zweck im Augenblick nicht bekannt ist, hieß es.

Davon ist ein unbekannter Schadsoftware-Typ zur Zeit im Netz aktiv. Es gibt auch Anzeichen dafür, dass Flame weiterhin in Entwicklung ist. So wurde ein neues Protokoll namens "Red Protocol" noch nicht vollständig eingerichtet. Die letzte Änderung des Server-Codes wurde am 18. Mai 2012 durchgeführt. Es gibt keine Hinweise darauf, dass die C&C-Server von Flame für Stuxnet oder Gauss eingesetzt wurden, obowhl hier auf anderen Ebenen bereits Parallelen gefunden wurden. Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 16:00 Uhr Samsung 40 Zoll Fernseher (Ultra HD, Triple Tuner, Smart TV)
Samsung 40 Zoll Fernseher (Ultra HD, Triple Tuner, Smart TV)
Original Amazon-Preis
579,99
Im Preisvergleich ab
539,00
Blitzangebot-Preis
519,99
Ersparnis zu Amazon 10% oder 60

Video-Empfehlungen

Tipp einsenden