Analysen zur Flame/Flamer Malware Flame: Superwaffe im Cyberkrieg

Autor / Redakteur: Dennis Kowalski / Peter Schmitz

Die Experten sind sich sicher: Flame / Flamer ist der komplexeste und mächtigste Computervirus aller Zeiten. Wir haben uns den Virus und die Meinungen der Experten näher angesehen.

Firmen zum Thema

Die Flame/Flamer Malware ist der komplexeste, jemals entdeckte Schadcode. Experten streiten sich noch darüber ob es eine Waffe zur Cyber-Kriegsführung ist.
Die Flame/Flamer Malware ist der komplexeste, jemals entdeckte Schadcode. Experten streiten sich noch darüber ob es eine Waffe zur Cyber-Kriegsführung ist.

Als auf eigentlich abgsicherten Systemen im Nahen Osten immer wieder Daten verschwanden beauftragte die Internationale Fernmeldeunion der Vereinten Nationen (ITU) die Virenforscher von Kaspersky Labs und das Labor für Kryptographie und System Sicherheit (CrySyS) der Budapester Universität für Technologie und Wirtschaftswissenschaften mit der Suche nach einer Malware, die sie "Wiper" nannten.

Erst im Verlauf der Untersuchungen bekam der Schadcode den Namen Flame bzw. Flamer durch das Modul zur Verbreitung des Schädlings. Das ungarische Labor für Kryptographie und System Sicherheit der Budapester Universität veröffentlichte bereits recht bald einen sehr umfassenden Report zu dem Schädling (pdf).

Bildergalerie

Marco Obiso, Cyber Security Coordinator der International Telecommunications Union nannte Flame "die schwerwiegendste Warnung vor einer Cyber-Gefahr", die die ITU jemals herausgegeben habe. Obiso nannte Flame auch "eine viel größere Gefahl als Stuxnet", obwohl der Umfang des Virus noch nicht komplett ermittelt werden konnte.

Kein zweiter Stuxnet

„Ein Vergleich mit Stuxnet hinkt, da es sich beim Flame um eine Spionagesoftware handelt, während Stuxnet auf Sabotage ausgerichtet war“, erklärte ein Sprecher des BSI. Einen direkten Vergleich können Sie der Abbildung 1 in der Bilderstrecke entnehmen. Der Computerwurm Stuxnet hatte laut diverser Berichte die Sabotage des Iranishcen Atomprogramms im Visier und soll angeblich die Zentrifugen der Urananreicherungsanlange in Natans zerstört haben. Im vergangenen Jahr wurde ein Nachfolger der Schädlings namens Duqu im mehreren Ländern entdeckt.

Die Analyse des ca 500K großen Programmcodes des Stuxnet dauerte über Monate, so wird es wahrscheinlich ca. ein Jahr dauern bis man die ca 20MB Programmcode des Flame Virus verstanden hat.

So arbeitet Flame

Flame kann, allgemein gesagt, nicht direkt der Kategorie Virus oder Wurm zugeordnet werden, es ist vielmehr als hochprofessionelles Baukastensystem zum Angriff von Computersystemen zu verstehen. So vereint dieser Baukasten die maßgeblichen Funktionen verschiedenster Schadprogramme, wie z.B. Viren, Würmer, Backdoors oder Trojaner. Flame ist in der Lage Daten in Echtzeit auszuspionieren oder zu verändern sowie unbemerkt weitere Module nachzuladen.

Kaspersky machte bisher keine Angaben zum Zielland des Schädlings jedoch konnte die Experten infizierte Systeme in Ländern wie Iran, Sudan, Syrien, Libanon, Saudi Arabien, Ägypten sowie auch Israel und die Palästinensischen Gebiete ausfindig machen.

Die Spionagefunktion des Schädlings erinnerst stark an Duqu, daher ist die Frage zulässig, ob es sich um einen ähnlichen Schädling handelt. Während Duqu aber eher für gezielte und klein ausgelegte Spionagezwecke entwickelt wurde, so scheint Flame es eher auf tausende von Zielen abzusehen. Duqu befiel eher 50 Ziele. Die Ziele scheinen auch breiter gefächert zu sein, so enthalten diese Akademien, Privatunternehmen oder spezielle Personen.

So verbreitet sich Flame

Der Iranische Cert konnte erste Angaben zur Verbreitung von Flame machen: Der Schädling verbreite sich übers Netzwerk und über Wechselmedien und erhält von wenigstens 10 Command and Control Servern Steuerbefehle über SSH und HTTPS. Der Schädling befällt Windows XP, Vista und 7 und enthält die Möglichkeiten Netzwerke oder Systeme zu scannen und Passwörter zu extrahieren. Er biete auch die Möglichkeit Eventabhängig Audioaufnahmen zu machen und Screenshots durchzuführen.

Das Iranische CERT kommt zudem zu der Aussage, dass bis Ende des Monats Mai der Schädling es geschafft hat unentdeckt von sämtlichen kommerziellen Antivirenlösungen zu bleiben. So wurde durch den iranischen CERT der Schädling gegen 43 AV Hersteller getestet und blieb jeweils unentdeckt.

Kaspersky machte zudem noch die Beobachtung, dass die Anzahl infizierte System künstlich auf einer bestimmten Höhe gehalten wird. So macht es den Eindruck einer sequentiellen Vorgehensweise. Es werden eine bestimmte Zahl von Systemen infiziert und die daraus gelieferten Daten analysiert, danach wird Flame von den uninteressanten Systemen wieder entfernt und die nächste Reihe von Systemen wird infiziert.

Diese Schwachstellen nutzt Flame

Im Blogeintrag The Flame – Questions and Answers auf Securelist.com gibt Kaspersky sehr ausführliche Angaben über die genutzten Schwachstellen. Flame besitzt 2 Module zur Infektion von USB Sticks, genannt „Autorun Infector“ und „Euphoria“. Die Autorun Infector Funktion nutzt wie schon bei Stuxnet gesehen eine „Autorun.inf“ die auf eine „Shell32.dll“ verweist. Dieses Vorgehen wurde vor Stuxnet noch nicht gesehen. Die Euphoria-Methode nutzt eine LNK-Datei die zur Infektion führt.

Flame hat zudem noch die Möglichkeit sich über das Netzwerk zu verbreiten. Dazu nutzt Flame drei verschiedene Methoden: Zum einen die Druckerschwachstelle MS10-061, die durch den Stuxnet Wurm bekannt wurde. Daneben nutzt Flame die Möglichkeit der Remote Tasks. Hat der aktive Nutzer Domain Admin Rechte so erstellt Flame außerdem auf Domainrechnern sogennante Backdoor Nutzerkonten und nutzt diese um sich dorthin zu kopieren. Die Tatsache dass Flame sich auf die Windows Versionen XP, Vista und 7 Verteilen kann weist daraufhin dass es eine noch unbekannte Zero-Day Schwachstelle ausnutzt die hochbrisant ist.

Spuren zum Urheber

Symantec trifft zur Frage nach dem Urheber von Flame die Aussage, dass die so starke modulare Aufbauweise des Schädlings vermuten lässt, dass dieser durch eine Gruppe von Entwicklern geschrieben wurde, mit dem Ziel dieses Projekt über eine längere Zeit zu betreiben.

Die Architektur erlaubt es den Entwicklern die Funktionalität und das Verhalten der Module anzupassen ohne das Gesamte Programm ändern zu müssen. Solche Anpassungen können einfach wie Fixes oder Upgrades eingespielt werden.

Ob der israeliche Geheimdienst dahinter steckt, kann man zum jetzigen Zeitpunkt nicht sagen. Ein klares Dementi oder Bekenntnis seitens Israel gibt es hierzu nicht, jedoch schürt folgende Aussage des Generalstabschefs Mosche Jaloons in einem Interview mit dem Arme-Radiosender „Haaretz“ deutlich die Gerüchteküche: “Bei jedem, der die iranische Bedrohung als bedeutende Bedrohung betrachtet, kann man vernünftigerweise annehmen, dass er unterschiedliche Schritte unternehmen wird, auch solche, um sie zu schädigen." Israel sei "damit gesegnet, reich an Hightech zu sein", und "diese Werkzeuge, auf die wir stolz sind, eröffnen uns vielfältige Möglichkeiten".

Aktuelle Updates zu Flame

Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) widersprechen den Analysen von Symantec oder Kaspersky. Gegenüber der Nachrichtenagentur dpa vertrat der Virenexperte Dirk Häger die Ansicht "Das ist keine neue Superwaffe im Cyberkrieg, sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes Schadprogramm"

Zwei weitere Securiy-Websites haben detaillierte Analysen zu Flame-Komponenten angestellt. Im StratSec-Blog von BAE Systems haben Experten den Programmcode der Flame-Komponente soapr32.ocx untersucht.

Die Entwickler vom Sandbox-Anbieter Cuckoobox konnten Flame erfolgreich in Ihrer Sandbox analysieren und berichten ausführlich darüber.

Microsoft warnt vor gefälschten Zertifikaten

Als neueste Entwicklung warnen Microsoft und das SANS ISC seit Sonntag 3. Juni 2012 vor gefälschten bzw. gestohlenen Zertifikaten die bei Flame für einige Komponenten genutzt werden und möglicherweise auch durch andere Angreifer missbraucht werden könnten.

Speziell der Terminal Server Licensing Service ist hier als Schwachpunkt erkannt worden. Damit konnten Microsoft-Kunden Remote Desktop Services innerhalb ihres Unternehmens authorisieren. Der darin genutzte Algorithmus konnte ausgenutzt werden, um um Zertifikate zu erstellen, die Code so signieren ließen, als käme er direkt von Microsoft.

(ID:34017340)