Der Flame Trojaner
Puzzlestück im Cyberkrieg der Regierungen?

Flame (zu Deutsch "Flamme") ist eine Malware, über die erst im Mai 2012 medienübergreifend berichtet und heiß diskutiert wurde. Brisanter weise soll Flame aber schon seit einigen Jahren aktiv sein und gezielt Rechner im Nahen Osten infiziert haben. Dabei sind die Komplexität und Funktionalität der neu entdeckten Schadsoftware außergewöhnlich - und der Autor bis heute nicht bekannt, auch wenn viele davon ausgehen, dass es sich um einen staatlich organisierten Angriff handelt. Im Folgenden erklären wir Ihnen, wie der Trojaner einige Tausend Computer unbemerkt infizieren konnte und wie gefährdet Sie als Privatanwender sind.

Verbreitung vor allem durch heikle Windows-Lücke

Für die Verbreitung von Flame setzten dessen Entwickler nicht nur auf eine Methode, sondern gaben der Malware gleich mehrere Fähigkeiten mit auf den Weg. Neben der klassischen Ausnutzung von neuen Sicherheitslücken (Zero-Day-Attacken via Exploits) machte das Spionageprogramm vor allem mit gefälschten Microsoft-Zertifikaten auf sich aufmerksam. Dabei wurde eine der heikelsten Funktionen des Betriebssystems ausgetrickst: Das Windows-Update.

Flame fängt dazu die Windows-Update-Anfrage eines Computers ab und leitet sie an einen infiltrierten Rechner weiter. Der ahnungslose Nutzer installiert dann eigenhändig die Schadkomponente. Die Methodik dieses nur schwer abzuwehrenden Angriffs wird auch als "Man in the middle" ("Mann in der Mitte") bezeichnet. Die Schwachstelle stellt hier eine veraltete Verschlüsselung seitens Microsoft dar, welche mittlerweile bereits ausgebessert wurde und laut dem Redmonder Unternehmen zukünftig noch sicherer gestaltet werden soll.

Da der Updatevorgang bei den letzten Windows Versionen sehr ähnlich ist, konnte Flame nicht nur ein bestimmtes Microsoft Betriebssystem infizieren, sondern alle aktuellen Versionen. Das Update selber gab sich übrigens als eine unscheinbare Funktion aus, die Gadgets auf dem Desktop darstellen sollte. Ob mit der Schließung dieser Lücke die Verbreitung von Flame gestoppt ist, lässt sich bezweifeln. Dem Datum der gefälschten Signatur nach ist diese Methode schon seit 2010/2011 im Einsatz, ferner kann der Trojaner mehrere Infektionswege verwenden.

Der Flammenangriff trifft gezielt den Nahen Osten

Die Untersuchungen in der Sache Flame stehen noch ganz am Anfang, entsprechend ist nur relativ wenig bekannt. Nach aktuellen Erkenntnissen ist das Schadprogramm dazu in der Lage, Daten und Passwörter auszulesen, über installierte Mikrofone Gespräche zu belauschen und in der Nähe befindliche Bluetooth-Geräte ausfindig zu machen. Also prinzipiell alles, was ein gutes Spionagewerkzeug können sollte.

Sehr interessant ist aber, dass Flame bisher nur auf einigen hundert Rechnern wichtiger Unternehmen und staatlicher Einrichtungen vor allem im Iran und in Syrien entdeckt wurde. Damit erhärtet sich der oft geäußerte Verdacht, dass die Malware per Regierungsauftrag entwickelt wurde – und vermutlich auch noch wird. Erst in den letzten Tagen wurde bekannt, dass die von infizierten Rechnern versendeten Daten vor allem PDF-Dokumente, Office-Dateien und Konstruktionszeichnungen sind. Ein weiteres Indiz für eine gezielte und langfristig angelegte Spionageaktion.

Flame ist womöglich Teil des Cyberwaffenarsenals der USA

Wurde zunächst offenbar fälschlicherweise Israel verdächtigt für den Trojaner verantwortlich zu sein, gab es erst in den letzten Tagen neue Erkenntnisse, die in eine ganz andere Richtung weisen. Bereits im Jahr 2010 machte der Wurm Stuxnet durch den Befall von Steuerungssystemen der Firma Siemens auf sich aufmerksam. Das Ziel mag im ersten Moment uninteressant klingen – was sich jedoch schlagartig ändert, wenn man schaut, welche Einrichtung primär von Stuxnet attackiert wurde.

Denn bis Ende September 2010 befand sich der Großteil der infizierten Rechner interessanterweise im Iran. Dem nicht genug kam es zu außerplanmäßigen Störungen im iranischen Atomprogramm, was die Vermutung nahelegt, dass Stuxnet gezielt die Leittechnik der Urananreicherungsanlage in Natanz und des Kernkraftwerks Buschehr attackieren sollte. Cyberkrieg ist damit nicht mehr nur ein Thema für Science Fiction Autoren, sondern in der realen Welt allem Anschein nach bereits in vollem Gange.

Auch im Casus Stuxnet ist der Initiator offiziell nicht bekannt. Doch David E. Sanger, Washington-Korrespondent der New York Times, veröffentlichte unlängst ein Buch in dem er die Behauptung aufstellt, der Einsatz von Stuxnet sei von keinem geringeren als Barack Obama angeordnet worden. Demnach habe der Präsident der Vereinigten Staaten von Amerika das unter dem Namen "Olympic Games" unter dem Amtsvorgänger George W. Bush initiierte Programm als eine von mehreren Cyberattacken auf den Iran nach der Amtsübernahme fortgeführt.

Erst am 10. Juni 2012 haben Security Experten nun eine erstaunliche Ähnlichkeit zwischen zwei Modulen festgestellt, die nicht nur in Stuxnet, sondern auch in Flame Verwendung finden. Bis dato galten beide Schadprogramme als prinzipiell sehr unterschiedlich, das aufgespürte Modul könnte nun aber ein Hinweis darauf sein, dass hier die Weltmacht USA die Fäden in der Hand hält.

Malware mit Selbstzerstörungsfunktion

Schaut man sich einige technische Eigenschaften von Flame an, so wird klar, dass es sich dabei kaum um ein Schadprogramm zur Masseninfektion handelt. Normalerweise wird Malware klein und effizient gestaltet, um möglichst viele Computer auf einmal unbemerkt befallen zu können. Flame ist allerdings modular aufgebaut und die meisten aufgespürten Exemplare weisen eine Größe von 20-25 MB auf. Das ist erstaunlich viel für Malware und auch alles andere als einfach zu verbergen. Je mehr Code und je mehr Funktionen, desto größer ist die Wahrscheinlichkeit, dass ein Heuristikscanner oder eine Verhaltensanalyse Alarm schlagen.

Doch auch für den Fall der Entdeckung wurde bei Flame vorgesorgt: Ganz dem Vorbild eines echten Spions folgend wurde letzte Woche von Flame Steuerservern aus eine virtuelle Giftpille an infizierte Rechner gesendet. Flame sollte sich damit in quasi suizidaler Absicht mit Hilfe einer Uninstall-Routine selber löschen. Also genau zu dem Zeitpunkt als die Medien lauffeuerartig begannen über den Angriff zu berichten. Keine Zeugen und keine Spuren zu hinterlassen sollte wohl das Ziel sein – auch sehr unüblich für konventionelle Malware, die dann schlimmstenfalls irgendwann vom Benutzer entfernt wird.

Wie gefährdet sind Privatanwender?

Die gute Nachricht zuerst: Normale PC Nutzer scheinen kein unmittelbares Ziel des Trojaners zu sein. Bis dato wurde weder in Europa noch in den USA eine Infektion gemeldet. Die Angriffe richten sich gezielt auf einige Länder im Nahen Osten und selbst dort nicht gegen Privatpersonen. Sie können also weiterhin beruhigt das Internet sowohl privat als auch geschäftlich nutzen.

Dennoch sollten einen die Vorgänge im Cyberspace vorsichtig stimmen. Im Zweifelsfall werden nicht nur die USA zu Onlinewaffen greifen. Auch Deutschland hat mit dem Bundestrojaner auf sich aufmerksam gemacht und es ist davon auszugehen, dass noch viel mehr Länder ähnliche Programme betreiben. Wir empfehlen daher den Einsatz von Emsisoft Anti-Malware, da neben dem enthaltenen leistungsstarken Dual Engine Scanner vor allem die Verhaltensanalyse auch unbekannte Malware aufspüren und blockieren kann. Uns ist bis jetzt keine Flame-Variante bekannt, die die Verhaltensanalyse von Emsisoft Anti-Malware überlisten konnte.

 

Eine Malware freie Zeit wünscht

Ihr Emsisoft Team
www.emsisoft.de