Technik
Auszüge aus dem von Kaspersky veröffentlichten Flame-Code.
Auszüge aus dem von Kaspersky veröffentlichten Flame-Code.(Foto: picture alliance / dpa)

Schädling "nicht am Sabbat entwickelt": Wer hat Angst vor Flame?

von Thomas Leidel

"Gefährlichster Virus", "Super-Trojaner", "20 Mal größer als Stuxnet". Markige Sprüche gibt es viele über die jüngst entdeckte Spionagesoftware Flame. Dazu Gerüchte, Geschichten, Geraune. Sicherheits-Anbieter sind aus dem Häuschen. Behörden sehen dagegen keinen Anlass zum "Superalarm".

Die Spekulationen um den jüngst vom russische Antivirus-Unternehmen Kaspersky Lab bekannt gemachten Computerschädling Flame gehen weiter. Wie bereits vielfach vermutet scheint es einen engen Zusammenhang zu geben zu den Programmen Stuxnet und Duqu, die dazu benutzt worden sein sollen, das iranische Atomprogramm anzugreifen.

Waffen im Cyberwar

Die meisten Computerschädlinge werden von Cyberkriminellen in Umlauf gebracht, die mit ihren Programmen Geld machen wollen. Doch mittlerweile entdecken Antivirus-Experten zunehmend auch Schadprogramme, die politische Zwecke erfüllen sollen:

STUXNET: Der Computerwurm Stuxnet ist im Jahr 2011 zum Synonym für Angriffe auf große und wichtige Infrastrukturen wie Industrieanlagen oder Stromnetze geworden. Der raffinierte Schädling war auf eine bestimmte Konfiguration von Siemens-Industriesystemen zugeschnitten. Experten gehen davon aus, dass er geschrieben wurde, um das iranische Atomprogramm zu sabotieren. Da der Arbeitsaufwand für ein derartiges Programm immens hoch ist, vermuten viele Spezialisten Staaten oder zumindest eine staatlich unterstütze Gruppe hinter dem Angriff.

DUQU: Dieser Trojaner wird von Experten als "der kleine Bruder von Stuxnet" bezeichnet. Er sammelt Daten von Computern und übermittelt sie an seine Entwickler. Die Software hat offenbar das Ziel, Industrieanlagen für weitere Angriffe auszuspionieren. Die erste Duqu-Attacke dürfte bereits auf Dezember 2010 zurückgehen. Den Namen Duqu bekam die Software, weil sie Dateien mit dem Namensteil "~DQ" anlegt.

FLAME: Die Schadsoftware ist mit 20 Megabyte viel größer als Stuxnet. Sie greift Windows-Rechner an und führt unterschiedlichste Spionagefunktionen aus. Flame kann das Mikrofon des Rechners einschalten und Gespräche belauschen, Bildschirminhalte und Tastatureingaben aufzeichnen sowie das Datennetzwerk überwachen. Außerdem verfügt das Programm über eine Hintertür, so dass weitere Schad-Funktionen nachgeladen werden können.

Wie die "New York Times" unter Berufung auf Kaspersky-Forscher berichtet, wurden die verschiedenen Programme zwar wohl nicht von den gleichen Ingenieuren entwickelt. Es sei aber sehr wahrscheinlich, dass sie von derselben "größeren Einheit" ("larger entity") in Auftrag gegeben wurde, die "im staatlichen Bereich" zu suchen sei, wie Kasperskys Roel Schouwenberg vorsichtig sagte, ohne bestimmte Länder zu nennen.

Flame weise einige Gemeinsamkeiten mit Stuxnet und Duqu auf. Zwar habe man die Urheber auch dieser beiden Schädlinge bisher nicht identifizieren können, doch hätten sich im Quellcode Beweise dafür finden lassen, die auf ein gemeinsames amerikanisch-israelisches Projekt hindeuteten, so die russischen Forscher. Sie behaupten, sie hätten beispielsweise die Arbeitszeiten der Betreiber überwacht und festgestellt dass diese mit Jerusalemer Lokalzeit korrespondiere. Außerdem seien die Programmierer zwischen Freitag-  und Samstagabend nicht aktiv gewesen - die typische Zeit der Sabbatruhe.

Flame deutlich älter als  Stuxnet?

Forscher der Sicherheitsfirma Webroot haben dem NYT-Bericht zufolge Bestandteile von Flame bis ins Jahr 2007 zurückverfolgen können - dem vermuteten Geburtsjahr von Duqu. Die ersten Anzeichen von Stuxnet-Befall datierten aber auf Juni 2009.

Wie bei Duqu auch handelt es sich bei Flame um ein wahres Füllhorn an Spionagewerkzeugen. Es versetzt seine Schöpfer in die Lage, auf dem infizierten Rechner Bildschirmfotos anzufertigen, E-Mail-  und Chatverkehr mitzuschneiden und unerkannt Mikrofone und Webcams anzusteuern - und die Beute über das Internet  an den Auftraggeber zu übertragen.

Was Flame aber besonders gefährlich mache, sei die Fähigkeit, sich selbst dann zu verbreiten, wenn auf dem befallenen Gerät gar keine Internetverbindung bestehe. Dazu suche Flame etwa in der Umgebung nach Geräten mit aktivierter Bluetooth-Funktion und nutze gegebenenfalls deren Netzwerk-Anbindung.

"Beetlejuice" sucht Bluetooth-Anschluss

Der entsprechende Befehlssatz trägt übrigens den hübschen Namen "Beetlejuice" - was bei Kaspersky als Indiz auf US-amerikanische Nerds gewertet wird, denen man nicht nur  in Moskau eine Schwäche für Hollywood-Charaktere nachsagt. Die E-Mail, die im vergangenen Jahr ein nicht näher bezeichnetes Rechnernetz infiziert habe, sei von einem "Jason  B." verschickt worden - hinter dem die Russen Jason Bourne aus den Spionage-Thrillern von Robert Ludlum vermuten.

"Kein Grund, Superalarm auszulösen"

Gerüchte, Geschichten, Vermutungen - das ist auch der Stoff, aus  dem die Angst argloser Computernutzer gemacht ist. Das Bundesamt für Sicherheit in der Informationstechnik beschwichtigte umgehend und sah sich nun zum Nachlegen veranlasst: "Das ist keine neue Superwaffe im Cyberkrieg, sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes Schad-Programm", sagte BSI-Virenexperte Dirk Häger. "Für mich gibt es keinen Grund, einen Superalarm in Deutschland auszulösen."

Trotzdem wittern die Hersteller von Sicherheits-Software einmal mehr ihre Chance: BitDefender preschte vor und publiziierte angesichts "neuer Bedrohungsniveaus" kostenlose Programme, mit  denen sich Flame identifizieren und - im Fall des Falles - auch gleich eliminieren lassen soll.

McAfee veranstaltet - angesichts einer selbst in Auftrag gegeben Studie, die mangelnden Schutz deutscher Rechner konstatiert -  gar einen "Free Security Day" und "verschenkt" eine Vollversion von Antivirus Plus 2012 - immerhin für ein volles halbes Jahr.

Dabei gibt es brauchbare Anti-Viren-Software seit jeher zum Nulltarif - ganz abgesehen davon, dass viele Nerds solche Schutzprogramme ohnehin für "Regenzauber" halten und lieber auf ihre eigene Umsicht vertrauen als auf proprietäre Programme. Denn Schädlinge haben bei einem ordentlich eingestellten und halbwegs aktuellen System eigentlich keine Chance - vorausgesetzt, man klickt nicht wahllos auf Links oder Mail-Anhänge von unbekannten Absendern.

Quelle: n-tv.de

Video-Empfehlungen
Empfehlungen