Der vom Kaspersky Lab entdeckte neue Wurm Flame ist wohl deutlich komplexer und weitgreifender als Stuxnet, der dagegen fast harmlos wirkt. Der vor allem im Mittleren Osten aufgetauchte Wurm besteht aus verschiedenen Modulen und dürfte laut Kaspersky wegen seiner Komplexität und Verbreitung von einer staatlichen Organisation kommen und vor allem für dauerhafte Cyberspionage gedacht sein. Die Spezialität des ungewöhnlich großen Windows-Trojaners, der in verschiedenen Varianten seit Anfang 2010 unterwegs ist, ist das Datenabgreifen auf möglichst vielen Ebenen. Neben dem Netzwerktraffic können in der Nähe befindliche Bluetooth-Geräte identifiziert und angezapft, Audio über das interne Mikrofon aufgenommen, Screenshots gemacht, Eingaben über das Keyboard aufgenommen und Systemeinstellungen geändert werden und wohl einiges mehr, denn Kaspersky-Experte Alexander Gostev ist sich sicher, dass noch lange nicht alle Module entschlüsselt sind. Die Daten werden in regelmäßigen Abständen über einen getarnten SSL-Kanal an verschiedene auf der ganzen Welt verteilte C&C Server geschickt. Unklar ist, ob auch Flame aus der gleichen Quelle wie Stuxnet und Duqu stammen: Flame ist (unter anderem zur Tarnung) zwanzig Mal größer als Stuxnet und anders strukturiert, hier und da weisen sie aber auch Gemeinsamkeiten auf. Er verbreitet sich über Netzwerke und USB Sticks mit der gleichen Methode wie frühe Stuxnet-Varianten, verbreitet sich aber kontrollierter. Kaspersky hat inzwischen bestätigen können, dass die Flame-Malware die gleiche ist wie die vom ungarischen CrySyS Lab als "SkyWiper" und der iranischen Iran Maher CERT group als "Flamer" identifizierten Viren. Mehr Infos nach dem Quelle-Link.

0 KOMMENTARE

Cyberwar 2.0: Flame, der große Bruder von Stuxnet?