Flame - neuer Spionage-Virus entdeckt

[Christoph]

Zitat:

BSI: Flame keine "Superwaffe im Cyberkrieg"

Der Computer-Virus Flame ist nach Einschätzung deutscher Experten längst nicht so machtvoll und besonders wie von seinen russischen Entdeckern bezeichnet. "Das ist keine neue Superwaffe im Cyberkrieg, sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes Schad-Programm", sagte Virenexperte Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am Donnerstag der Nachrichtenagentur dpa. "Für mich gibt es keinen Grund, einen Superalarm in Deutschland auszulösen.

Der Computerschädling Flame war vom russischen Antivirus-Unternehmen Kaspersky Lab entdeckt worden. Flame spioniere seit über drei Jahren Computeranwender und Netzwerke im Iran, Nahen Osten und Nordafrika aus. "Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen", sagte Firmen-Chef Eugene Kaspersky am Dienstag. Er setzte Flame in eine Reihe mit dem Schädling Stuxnet, der bestimmte Industrieanlagen-Module von Siemens angreift und vermutlich zur Sabotage der Atomprogramme im Iran eingesetzt wurde.

Häger bestätigte, dass Flame ein umfassendes Überwachungstool darstellt. Nach der Analyse von Kaspersky kann das Schadprogramm den Datenverkehr in einem Netzwerk überwachen, das Mikrofon eines Rechners einschalten und damit Gespräche belauschen und Bildschirmfotos (Screenshots) aufnehmen und nach außen schmuggeln. Nach einer ersten BSI-Analyse seien diese Funktionen aber auch in bekannten Schadprogrammen wie "Poison Ivy" zu finden. "Stuxnet war etwas Besonderes, Flame aber nicht."

Der BSI-Experte sagte, es sei auffällig, dass sich die Programmierer von Flame wenig Mühe gemacht hätten, eine Analyse des Computerschädlings zu verhindern. So befänden sich noch sogenannte Debugging-Informationen in dem Code, die Programmierern beim Entfernen von Fehlern helfen. Merkwürdig sei auch, dass mehrfach Module für bestimmte Aufgaben wie Verschlüsselung, Komprimierung oder Dateispeicherung verwendet worden sein. "Da wurden offenbar Versatzstücke aus verschiedenen Baukästen verwendet." Nicht bewiesen sei auch die These, dass Flame vor allem im Iran eingesetzt worden sei. Von insgesamt 5000 genannten Infektionen seien lediglich 189 Fälle dem Iran zugeordnet worden, 98 Israel/Palästina, 32 dem Sudan, 18 dem Libanon und 10 für Saudi-Arabien. "Wo sind die anderen 4400 Fälle?", fragte Häger.

Unterdessen dementierte auch die israelische Regierung, in die Programmierung oder Verbreitung des Computerschädlings Flame verwickelt zu sein. Ein Regierungssprecher sagte der BBC, Vize-Premierminister Mosche Jaalon sei mit seinen Äußerungen zu Flame "falsch interpretiert" worden. Jaalon habe nie gesagt, sein Land stehe hinter der Cyber-Attacke. Der Vize-Premierminister hatte in einem Interview des israelischen Armeerundfunks erklärt, Israel sei damit "gesegnet, eine Nation zu sein, die überlegene Technologie besitzt". "Diese Errungenschaft eröffnet uns alle möglichen Optionen."

Quelle: http://www.heise.de/newsticker/meldu...g-1587849.html
bzw.
http://futurezone.at/netzpolitik/937...superwaffe.php

[Christoph]

Zitat:

Flame kam angeblich als Windows-Update aufs System

Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.

Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.

Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.

Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunde nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".

Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-bit-Ausgabe von Windows 7 läuft Flame nicht.

Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf eine Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben. (rei)

Quelle: http://www.heise.de/newsticker/meldu...m-1603288.html

[Christoph]

Zitat:

Symantec: Cyberwaffe Flame löscht sich selbst

Der Virus habe sich laut Symantec mit einem "Suizid-Befehl" selbst von infizierten Rechnern gelöscht.

Nach einem Bericht der Sicherheitssoftware-Herstellers Symantec hat sich die Cyberwaffe Flame selbst von infizierten Computern gelöscht. Der Virus war vor Ende Mai auf Rechnern vor allem im Nahen Osten entdeckt worden und dürfte vor allem auf iranische Regierungsbehörden abgezielt haben. Flame habe sich mit einem „Suizid-Befehl" selbst ausgelöscht, teilte Symantec am Freitag mit. „Er ließ keine Spur eine Infektion zurück", berichtete die Firma laut dem Sender BBC. Symantec hatte den Virus auf speziell präparierten Computern unter Beobachtung.

Nachfolger von Stuxne
Flame wird von Experten als mögliche Angriffswaffe der USA gegen das Atomprogramm des Iran gewertet. Nach einem Bericht der „New York Times" soll US-Präsident Barack Obama persönlich den Angriff auf iranische Rechneranlagen befohlen haben. Die USA und der Iran befänden sich mittlerweile in einem offenen Cyberkrieg, warnte ein Experte an der US-Universität Stanford, Roland Benedikter, im Gespräch mit der APA. Die Trojaner Stuxnet und Flame seien lediglich eine Warnung an die Iraner und andere Staaten gewesen.

Quelle: http://futurezone.at/netzpolitik/949...ich-selbst.php

[Christoph]

Zitat:

Zyankali-Kapsel für Flame

In der vergangenen Woche haben einige der noch aktiven Command-and-Control-Server (C&C-Server) eine spezielle Kommando-Datei mit dem Namen browse32.ocx an die von ihnen kontrollierten, mit dem Super-Spion Flame infizierten Rechner geschickt. Diese Datei funktioniert wie ein Uninstaller und entfernt alle Komponenten des Trojaners von der Festplatte, einschließlich sich selbst. Um eine Wiederherstellung und Analyse der Dateien zu verhindern, überschreibt das Modul sie anschließend mit Zufallszeichen, wozu es einen eigenen Zufallsgenerator mitbringt.

Der Anti-Viren-Spezialist Symantec konnte das Modul mit Hilfe eines eigens für Flame-C&C-Server aufgestellten Honeypots auffangen und untersuchen. Auf normalen Clients hätte sich die Datei zusammen mit allen Spuren des Flame-Trojaners vernichtet.

Flame wurde erst Ende Mai von den Viren-Fahndern entdeckt. Interessant ist das Erstellungsdatum des Selbstmord-Moduls: Es ist auf den 9. Mai 2012 datiert, nur wenige Wochen vor der Bekanntwerdung. Auch dass überhaupt eine separate Kommando-Datei verwendet wurde, macht die Spezialisten stutzig, da der Flame-Code selbst eine Komponente namens SUICIDE enthält, die die gleichen Funktionen wie browse32.ocx ausführt. Eine Erklärung für das neue Modul suchen die Viren-Forscher noch.

Flame zählt zu den komplexesten bislang gefundenen Trojanern und ist das erste bekannte Spionage-Programm, das zur Verbreitung die Update-Funktion von Windows benutzt. Es kopiert von infizierten Rechnern E-Mails und Dateien, nutzt angeschlossene Mikrofone und Kameras zum Abhören und Überwachen und zeichnet Screenshots, Tastatureingaben und Netzwerkverkehr auf. Die Verbreitung war jedoch begrenzt – Flame fand sich hauptsächlich auf Rechnern im Nahen Osten –, was die Entdeckung wahrscheinlich so lange hinausgezögert hat. (rop)

Quelle: http://www.heise.de/newsticker/meldu...e-1614677.html

[Christoph]

Zitat:

Anti-Flame-Patches für Microsofts Update-Services

Vom Spionageprogramm Flame genutzte Lücken in Microsofts Windows Server Update Service (WSUS) soll ein jetzt veröffentlichtes Update schließen. Es sichere die Kommunikationswege zwischen Clients und Server besser, wie die Firma in einem Support-Artikel erklärt. Sie fordert Administratoren auf, den Patch so bald wie möglich zu installieren.

Wenn zwischen den Clients und dem Update-Server ein Proxy sitzt, der die HTTPS- und SSL-Pakete inspiziert, müssen jedoch Ausnahmeregeln für den Proxy erstellt werden, sodass er die WSUS-Daten ohne Untersuchung passieren lässt. Darauf weist Microsoft im Abschnitt "Bekannte Probleme" des Support-Artikels hin.

Vor der Installation der Pakete sollen Anwender ein am 3. Juni veröffentlichtes Update ausführen, das zwei bisher genutzt Microsoft-Zertifikate widerruft. (ck)

Quelle: http://www.heise.de/newsticker/meldu...s-1614744.html

[Christoph]

Zitat:

Flame und Stuxnet haben Gemeinsamkeiten

Das Computer-Schadprogramm Flame hat nach jüngsten Erkenntnissen des IT-Sicherheitsexperten Kaspersky Ähnlichkeiten mit dem Computervirus Stuxnet. Die Forscher der russischen Firma haben nach auffällige Übereinstimmungen festgestellt. Als sicher gelte deshalb, dass die Entwicklerteams zumindest in der Entwicklungsphase kooperiert hätten.

Forscher von Kaspersky hatten den Spionage-Virus Flame im Mai entdeckt und als eine gefährliche Waffe im Cyberkrieg eingestuft. Für eine Analyse hatte das russische Unternehmen vergangene Woche von Flame ausspionierte Daten auf eigene Server umgeleitet. Wie das Unternehmen nun mitteilte, stamme ein in Stuxnet eingesetztes Modul (Plug-in) von Flame. Dies bedeute, dass die Plattform bereits existiert haben müsse, als der Stuxnet-Wurm Anfang 2009 entwickelt wurde.

Das besagte Modul („Resource 207“) sei zur Ausbreitung der Infektion über USB-Speicher verwendet worden, hieß es. „Der Code des USB-Speicher-Infektionsmechanismus ist bei Flame und Stuxnet derselbe.“ 2010 sei das Flame-Modul wieder aus Stuxnet entfernt und durch ein anderes ersetzt worden. Die Entwicklerteams hätten offenbar wieder unabhängig voneinander gearbeitet.

Spionage-Tool
Flame kann über das Mikrofon eines Rechners Gespräche belauschen, Bildschirminhalte scannen und Tastatureingaben aufzeichnen sowie auf Inhalte im gleichen Netzwerk zugreifen. Der Schädling war laut Kaspersky vor allem in Iran, im Nahen Osten und Nordafrika aktiv. Über die Effektivität des Schädlings gehen die Meinungen auseinander. Während Kaspersky in Flame eine ausgeklügelte Superwaffe sah, stufte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Virus als durchschnittliches Schadprogramm ein.

Stuxnet greift bestimmte Industrieanlagen-Module von Siemens an und wurde vermutlich zur Sabotage der Atomprogramme im Iran eingesetzt. US-Medien berichteten, US-Präsident Barack Obama habe die Angriffe persönlich angeordnet.

Quelle: http://futurezone.at/netzpolitik/953...nsamkeiten.php
detto
http://www.heise.de/newsticker/meldu...t-1615509.html

[Christoph]

Zitat:

Bericht: Israel und USA entwickelten Flame


Der Spionage-Virus Flame ist nach Erkenntnissen der Washington Post eine Gemeinschaftsarbeit der USA und Israel gewesen. Die Schadsoftware sei gezielt zum Ausspähen von iranischen Computernetzwerken eingesetzt worden und sollte Informationen für die Vorbereitung einer Cyberkriegs-Kampagne liefern, berichtete die Zeitung unter Berufung auf mit der Sache vertraute US-Beamte. Bei der Aktion seien die CIA, der Nachrichtendienst National Security Agency (NSA) sowie das israelische Militär involviert gewesen. Auch der Stuxnet-Virus, der auf den Befall bestimmter Industrieanlagen von Siemens spezialisiert ist, die im iranischen Atomprogramm eingesetzt werden, sei Teil der Attacke gewesen. Der Antiviren-Hersteller Kaspersky hatte zuvor Indizien entdeckt, die auf eine Verwandtschaft beider Viren hindeuten.

Die bekannt gewordenen Details über die Schadsoftware ließen den Schluss zu, dass Flame als Waffe in einer ersten längerfristigen Cyber-Sabotage-Kampagne gegen einen Gegner der USA eingesetzt worden sei, heißt es. "Es geht darum, ein Schlachtfeld für eine andere Art von verdeckten Maßnahmen vorzubereiten", sagte ein ehemaliger hochrangiger Mitarbeiter des US-Geheimdienstes der Zeitung. Flame und Stuxnet seien Bestandteile eines Angriffes, der bis heute andauere. Sprecher der CIA, der NSA und der israelischen Botschaftsvertretung in Washington wollten den Bericht auf Anfrage der Washington Post nicht bestätigen.

Flame wurde im Mai von Antivirus-Experten des russischen IT-Sicherheitsspezialisten Kaspersky entdeckt. Die Software kann Gespräche über das Mikrofon eines Rechners abhören, Bildschirminhalte scannen und Tastatureingaben abfangen. Während Kaspersky die Software als gefährliche Waffe bezeichnete, hatte das Bundesamt für Sicherheit in der Informationstechnik BSI sie zunächst als eher harmlos eingestuft.

Anfang Juni hatte die New York Times berichtet, dass der Computerschädling Stuxnet Bestandteil eines geheimen Cyberkriegsprogramms sei, das angeblich von US-Präsident Barack Obama persönlich angeordnet worden sei. Stuxnet sei ebenfalls von US-amerikanischen und israelischen Experten entwickelt worden. Er war gezielt auf die Infektion von Steuerungsanlagen ausgerichtet, wie sie etwa der Iran in seinen Atomanlagen nutzt.

Quelle: http://www.heise.de/newsticker/meldu...e-1621770.html