29.05.12

Cyberwar

Computervirus "Flame" verseucht den Nahen Osten

Ein Virus mit dem Namen "Flame" soll Rechner im gesamten Nahen Osten infiziert haben. Er kann fast alles: Kameras anschalten, Büros belauschen, E-Mails lesen und Chats abhören.

Von Ulrich Clauß

IT-Experten haben einen in weiten Teilen des Nahen Ostens verbreiteten hochkomplexen Computervirus entdeckt. Sein Umfang soll alle bisher bekannte Schadsoftware in den Schatten stellen. Das neu entdeckte Schadprogramm "Flame", auch bekannt als "Skywiper" und "Flamer", soll 20 Mal größer sein als der Virus Stuxnet, der vor zwei Jahren iranische Atomanlagen befallen hatte.

Eine Bedrohung für Deutschland schließen die Behörden allerdings bislang aus. "Uns liegen bislang keine Erkenntnisse vor, die darauf schließen ließen, dass Flame in Deutschland eingesetzt wurde", sagte ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn. Allerdings sei Flame derart komplex, dass klassische Virenscanner ihn bisher nicht erfassen könnten: "Das Programm verschleiert aktiv, dass es da ist."

Laut Experten wird der neue Computervirus wohl ausschließlich zu Spionagezwecken eingesetzt und greift Computer mit dem Betriebssystem Windows an einer bekannten Schwachstelle an – unter anderem durch die gleiche Drucker-Schwachstelle und USB-Methode, die Stuxnet nutzt.

Flame verbreitet sich dementsprechend besonders gut in Netzwerken, die gemeinsame Resourcen wie zum Beispiel Drucker teilen. Das russische Anti-Viren-Softwareunternehmen Kaspersky Lab sprach von einer "Cyber-Waffe", die "Entitäten in mehreren Ländern" angreife.

"Cyberwar wird durch Flame neu definiert"

Durch "Flame" würde Cyberwar und Cyberspionage neu definiert, so kommentiert Kaspersky die Mächtigkeit von "Flame". "Flame" leite eine neue Phase in der Geschichte des Cyberware ein, heißt es von Kaspersky Lab.

Von der Schadsoftware befallen seien Computer im Iran, in Israel und in anderen Staaten des Nahen Ostens, teilte Kaspersky mit. In Europa oder den USA sei der Virus bisher nicht entdeckt worden. Die Verantwortlichen des Virus' seien offenbar an Informationen aus E-Mails, Dokumenten und sogar Sofortmitteilungen (Instant Messaging) interessiert.

"Bislang größte Bedrohung"

"Zusammengenommen können wir sagen, dass Flame eine der größten Bedrohung darstellt, die jemals entdeckt wurden," heißt es im Web-Portal von Securelist.com, das von Kaspersky Lab betrieben wird. Demnach ist "Flame" ein ganzes Paket von Modulen im Umfang von 20 Megabyte, was für ein Computer-Schadprogramm ein außergewöhnlicher Codeumfang ist. Offenbar handelt es sich dabei um einen ganzen Werkzeugkasten von Spionage-Tools, die in vielfältigen Kombinationen oder auch einzeln eingesetzt werden können.

"Der Schlüssel ist die Vollständigkeit, mit der Flame auf so unterschiedliche Arten die Daten stehlen kann," heißt es dazu im Kaspersky-Blog. Im gleichen Sinne äußerte sich auch die IT-Sicherheitsfirma Symantect: "Flame gehört zum Eliteclub zusammen mit Stuxnet und Duqu," heißt es in einer Mitteilung der Firma.

Duqu ist ein Cpomputerwurm, der Anfang September 2011 entdeckt wurde und Ähnlichkeiten mit Stuxnet aufweist.

Nach Angaben von Experten von CrySys, einem auf die Verschlüsselung von geheimen Daten und Systemsicherheit spezialisierten Labor in Budapest, soll Flame bereits seit fünf bis acht Jahren im Umlauf sein. Um an geheime Daten zu kommen, erstelle die Schadsoftware unter anderem Bildschirmfotos. Außerdem würden Mikrophone aktiviert, um Gespräche aufzuzeichnen. Die Schadsoftware soll auch in der Lage sein, beliebige Daten auf fremden Rechnern zu löschen.

Erstmald kommuniziert ein Virus mit Bluetooth

Bei "Flame" handelt es sich zudem um den ersten bekannten Computervirus, der drahtlose Bluetooth-Technologie nutzen könne, um Befehle und Daten zu senden und zu erhalten, sagte Roel Schouwenberg, Senior Researcher bei Kaspersky Lab.

Über die Herkunft von Flame gibt es bislang noch nicht einmal Vermutungen, bestenfalls indirekte Hinweise. So schreibt die israelische Tageszeitung "Haaretz" in ihrer Online-Ausgabe, dass mehrere Dateinamen des Flame-Pakets bereits in Zusammenhang mit einem Hackerangriff auf das iranische Ölministerium aufgetaucht seien.

Dort soll der entsprechende Computerwurm unentdeckt mindestens zwei Jahre lang in Funktion gewesen sein, wobei seine Machart auf eine "organisierte, gut ausgestattete Gruppe von Leuten mit einer klaren Zielsetzung" schließen lasse, schreibt "Haaretz". Eigenschaften, die man gemeinhin zum Beispiel dem israelischen Geheimdienst Mossad nachsagt.

Eine Stellungnahme des israelischen Vizeministerpräsidenten nährten am Dienstagmorgen Vermutungen, staatliche Stellen Israels könnten hinter der Programmierung des Computervirus stecken.

Flame könnte aus israelischer Virenschmiede stammen

"Wer auch immer die iranische Bedrohung als eine erhebliche Bedrohung betrachtet, wird wahrscheinlich verschiedene Maßnahmen ergreifen, um sie einzuschränken, darunter diese", sagte Mosche Jaalon in Anspielung auf die Schadsoftware im Militärradio. Israel verfüge über Spitzentechnologie und Werkzeuge, die dem Land "viele verschiedene Möglichkeiten" böten. "Israel ist gesegnet, ein technologisch reiches Land zu sein", ergänzte er.

Der Iran spielte die Brisanz von Flame wiederum herunter. Das Kommunikationsministerium teilte mit, für den Trojaner stehe bereits eine Anti-Virus-Software parat. Das Gegenprogramm identifiziere Flame und entferne den Virus von den attackierten Computern.

Auch der Anti-Virensoftware-Herstelller Kaspersky-Lab hat bereits seine Produkte gegen Flame geimpft. Nach Angaben der Firma ist jeder Windows-PC gegen Flame geschützt, der das neueste Update der Schutzsoftware auf seinem Rechner installiert hat.

Beobachter gehen davon aus, dass neben Israel auch die USA für den hochkomplexen Computervirus verantwortlich sein könnten. Einige Merkmale von sowohl "Stuxnet" als auch "Flame" deuteten darauf hin, dass der Auftraggeber für Stuxnet auch für das neue Schadprogramm verantwortlich sei, erklärten Experten.

Entdeckung per Zufall

Die Entdeckung von "Flame" geschah wie so oft aus reinem Zufall. Kaspersky Lab war von einer UN-Organisation, der International Telecommunication Union (ITU), um Mithilfe bei der Suche nach einer Schadsoftware (Spitzname "Viper") gebeten worden, die auf Rechnern im westlichen Asien Dateien löscht. Dabei, so Kaspersky Lab, sei der völlig neue Computervirus mit dem Codenamen "Worm.Win32.Flame" gefunden worden.

Die vollständige Analyse von "Flame" ist entsprechend aufwändig, so das Kaspersky Lab nicht damit rechnet, schon in den nächsten Tagen eine komplette Analyse des Virus liefern zu können. Fest stehe bislang nur, dass "Flame" aus einer ganzen Reihe von Bibliotheken bestehe, die unter anderem die Manipulation von Datenbanken ermöglichen und der Compression von Daten dienen. Als Programmeirsprache sei das populäre C++ sowie die Script-Sprache LUA eingesetzt worden.

Als gesichert gilt darüber hinaus, dass Flame als klassischer Bot in regelmäßigen Abständen einen Kommandoserver kontaktiert, sich von dort neue Anweisungen holt und gesammelte Informationen abliefert.

"Flame" steht nach Experteneinschätzung in einer Reihe mit dem Schadprogramm Stuxnet, das im Juni 2010 entdeckt worden war. Stuxnet wurde allerdings anders als der für Windows geschriebene Virus "Flame" für ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse der Firma Siemens abgestimmt. Offensichtlich wurde damit die Urananreicherung in iranischen Atomanlagen erfolgreich sabotiert. Auch die Herkunft von Stuxnet konnte bislang nicht geklärt werden.