Flame Plattform

 
Auf Basis der Flame-Platform sind wahrscheinlich Gauss und Flame selbst entstanden (siehe dazu die eigenen Einträge). Die Flame-Platform unterstützt aber die Kommunikation mit insgesammt vier unterschiedlichen Malware-Typen, dies wird anhand der programmierten Kommunikationsschnittstellen  (die sog. Protokolle) deutlich. Details dazu finden sich im hier verlinkten Dokument „Full Analysis of Flame’s Command & Control servers„. Es gibt also vermutlich weitere Malware die mit Flame/Gauss verwandt sind und auf Basis der Flame-Plattform entstanden. Eine weitere entdeckte Malware dieses Typs ist SPE/miniFlame.
 
Informationen zu SPE/miniFlame
 

Keyfacts

  • entdeckt: Juni 2012
  • sicher aktiv seit: Okt.2010 (SPE Version 1.0)
  • letzte Aktivität: Sept. 2011 (SPE Version 5.0)
  • Verbreitung: weltweit, Konzentration Libanon/Palästina
  • Infektion: unbekannt, vermutlich über bereits bestehende FLAME/Gauss Infektionen
  • Hauptziel: gezielte Spionage einzelner Personen, Backdoor für direkte Kontrolle/Zugriff         
  • Vermutliche Herkunft: unbekannt

Relevante Dokumente

miniflame2012_pic12miniFlame

Quelle (beide Bilder): securelists.com

SPE/miniFlame wurde entdeckt, nachdem die Analysen von Flame selbst gezeigt hatten, dass die gesamte Plattform von Flame in der Lage ist mit mehreren unterschiedlichen Malware-Typen zu kommunizieren und Daten auszutauschen. SPE/miniFlame ist dabei ein sehr viel kleineres, auf dieser Basis entwickeltes Projekt, das über viele Jahre in verschiedenen Versionen entwickelt und in unterschiedlichen Kontexten angewendet wurde. Dies legt den Schluss nahe, dass SPE/miniFlame im Zuge größerer Aufklärungsoperationen eingesetzt wurde, indem jeweils eine, an das Ziel angepasste miniFlame-Version installiert und damit die Spionage-Operation durchgeführt wurde. Dies legt auch die geographische Verteilung von miniFlame nahe:

„Unlike Flame, where the vast majority of incidents were recorded in Iran and Sudan, and unlike Gauss, which was mostly present in Lebanon, SPE does not have a clear geographical bias (..) However, we believe that the choice of countries depends on the SPE variant. For example, the modification known as «4.50» is mostly found in Lebanon and Palestine“ (Quelle: securelists.com)

Share Button