Flame Plattform

 

Auf Basis der Flame-Platform sind wahrscheinlich Gauss und Flame selbst entstanden (siehe dazu die eigenen Einträge). Die Flame-Platform unterstützt aber die Kommunikation mit insgesammt vier unterschiedlichen Malware-Typen, dies wird anhand der programmierten Kommunikationsschnittstellen  (die sog. Protokolle) deutlich. Details dazu finden sich im hier verlinkten Dokument „Full Analysis of Flame’s Command & Control servers„. Es gibt also vermutlich weitere Malware die mit Flame/Gauss verwandt sind und auf Basis der Flame-Plattform entstanden. Eine weitere entdeckte Malware dieses Typs ist SPE/miniFlame.

 

 

• miniFlame aka SPE: „Elvis and his friends“ (Original-Artikel)
  
• Full Analysis of Flame’s Command & Control servers (Original-Artikel)

Quelle (beide Bilder): securelists.com

SPE/miniFlame wurde entdeckt, nachdem die Analysen von Flame selbst gezeigt hatten, dass die gesamte Plattform von Flame in der Lage ist mit mehreren unterschiedlichen Malware-Typen zu kommunizieren und Daten auszutauschen. SPE/miniFlame ist dabei ein sehr viel kleineres, auf dieser Basis entwickeltes Projekt, das über viele Jahre in verschiedenen Versionen entwickelt und in unterschiedlichen Kontexten angewendet wurde. Dies legt den Schluss nahe, dass SPE/miniFlame im Zuge größerer Aufklärungsoperationen eingesetzt wurde, indem jeweils eine, an das Ziel angepasste miniFlame-Version installiert und damit die Spionage-Operation durchgeführt wurde. Dies legt auch die geographische Verteilung von miniFlame nahe:

„Unlike Flame, where the vast majority of incidents were recorded in Iran and Sudan, and unlike Gauss, which was mostly present in Lebanon, SPE does not have a clear geographical bias (..) However, we believe that the choice of countries depends on the SPE variant. For example, the modification known as «4.50» is mostly found in Lebanon and Palestine“ (Quelle: securelists.com)