Flame

 

Keyfacts

  • entdeckt: Mai 2012
  • sicher aktiv seit: März 2010
  • letzte Aktualisierung: Mai 2012
  • Verbreitung: Iran, Israel/Palästina,Libanon, Saudi-Arabien, evtl auch Frankreich laut einem Bericht des L’Express (siehe Dokumente)
  • Infektion und Replikation: modifizierte USB-Sticks, Netzwerkumgebung und über den lokalen Windows-Update-Mechanismus innerhalb eines Netzwerkes
  • Hauptziel: ”breite” aber auch sehr detailierte Signal-Intelligence und Spionage
  • bestätige Herkunft: USA, Israel

Relevante Dokumente

flame

Quelle: Kaspersky

Die Malware Flame hebt sich im Kontext aller anderen, bisher beobachteten Cybervorfälle durch ihre enorme Größe und Komplexität hervor. Dies liegt im vermutlichen Zweck dieser Malware begründet, der sowohl in einer breiten Streuwirkung und der Erreichbarkeit unterschiedlichster Systeme als auch der Möglichkeit zur “tiefen” und detailierten Analyse einzelner infizierter Systeme besteht. Um eine solche Spionage-Aktivität zu ermöglichen waren Flame-infizierte Systemen in der Lage komplexe zusätzliche Funktions-Pakete nachzuladen um somit bspw. Datenbanken, die auf Rechner gefunden wurden, direkt zu durchsuchen, komprimierte und verschlüsselte Dateien anzugreifen (also die Verschlüsselung zu knacken) etc. Theoretisch wäre es über diesen Mechanismus möglich gewesen auch konkrete Schadroutinen nachzuladen um Daten auf Rechnern zu beschädigen, zu manipulieren oder zu löschen. Derartige Vorfälle wurden jedoch nicht öffentlich bekannt.

Die detailierten Analysen der aufgefunden Flame-Infektionen haben gezeigt, das auch für Flame – ähnlich wie bei Stuxnet – eine eigene Plattform entwickelt wurde. Die Analyse der Codebestandteil dieser Plattform legen denn Schluß nahe, dass neben Flame selbst weitere Projekte entwickelt wurden oder werden sollten. So wurde 2012 eine kleinere, weniger umfangreiche Malware entdeckt, die Flame stark ähnelte und als SPE/miniFlame getauft (siehe Eintrag zur Flame-Plattform). Ein Abgleich der diversen Code-Fragement der Flame-Plattform haben weiterhin gezeigt, dass Bestandteile dieser Plattform bereits 2007 in einer Malware namens “Skywyper” verwendet wurden und die Entwicklung an dieser Plattform und eventuell Flame selbst seit vielen Jahren aktiv gewesen ist.

Im direkten Vergleich zwischen Stuxnet und dessen Tilded-Plattform und Flame fällt eine hohe Ähnlichkeit der Programmcode-Strukturierung auf, sowie die gemeinsame Verwendung zweier Zero-Day-Exploits. Code-Analysten vermuten daher, dass Flame zwar als eigenständige Linie, aber parallel zum Stuxnet-Team entwickelt wurde, wobei sich beide Teams einen gemeinsamen Kompetenz- und Ressourcenpool geteilt haben.

Ähnlich wie bei Stuxnet wurde auch der Ursprung von Flame durch einen Zeitungsartikel bestätigt. Darin heißt es, dass Flame als weitere US-israelische Kooperation entwickelt wurde um das iranische Atomprogramm zu bremsen und mithilfe der SIGINT-Ergebnisse das iranische Netzwerk kontinuierlich zu überwachen und auszuforschen um davon ausgehend weitere Operationen planen zu können.