Keyfacts
- entdeckt: Juni 2012
- sicher aktiv seit: Okt.2010 (SPE Version 1.0)
- letzte Aktivität: Sept. 2011 (SPE Version 5.0)
- Verbreitung: weltweit, Konzentration Libanon/Palästina
- Infektion: unbekannt, vermutlich über bereits bestehende FLAME/Gauss Infektionen
- Hauptziel: gezielte Spionage einzelner Personen, Backdoor für direkte Kontrolle/Zugriff
- Vermutliche Herkunft: unbekannt
Relevante Dokumente
- miniFlame aka SPE: „Elvis and his friends“ (Original-Artikel)
- Full Analysis of Flame’s Command & Control servers (Original-Artikel)
Quelle (beide Bilder): securelists.com
SPE/miniFlame wurde entdeckt, nachdem die Analysen von Flame selbst gezeigt hatten, dass die gesamte Plattform von Flame in der Lage ist mit mehreren unterschiedlichen Malware-Typen zu kommunizieren und Daten auszutauschen. SPE/miniFlame ist dabei ein sehr viel kleineres, auf dieser Basis entwickeltes Projekt, das über viele Jahre in verschiedenen Versionen entwickelt und in unterschiedlichen Kontexten angewendet wurde. Dies legt den Schluss nahe, dass SPE/miniFlame im Zuge größerer Aufklärungsoperationen eingesetzt wurde, indem jeweils eine, an das Ziel angepasste miniFlame-Version installiert und damit die Spionage-Operation durchgeführt wurde. Dies legt auch die geographische Verteilung von miniFlame nahe:
„Unlike Flame, where the vast majority of incidents were recorded in Iran and Sudan, and unlike Gauss, which was mostly present in Lebanon, SPE does not have a clear geographical bias (..) However, we believe that the choice of countries depends on the SPE variant. For example, the modification known as «4.50» is mostly found in Lebanon and Palestine“ (Quelle: securelists.com)