miniFlame entdeckt: Hochpräzise Angriffswaffe

Im Mai diesen Jahres sorgte der Virus Flame für großes Aufsehen. Der Trojaner war von den Sicherheits-Experten von Kaspersky Lab entdeckt und damals als „eine der komplexesten Bedrohungen, die je entdeckt wurden“ eingeschätzt worden. Doch Flame ist noch lange nicht das Ende der Fahnenstange.

Im Juli 2012 entdeckten die Forscher von Kaspersky Lab miniFlame, ein Schad-Programm, das man zunächst für ein Flame-Modul hielt. Doch wie sich jetzt herausstellte, kann miniFlame sowohl als unabhängiges Programm eingesetzt werden als auch als Plugin für Flame und Gauss, ebenfalls ein Schad-Programm. Alexander Gostev von Kaspersky Lab beschreibt miniFlame als hochpräzise Angriffswaffe, die höchstwahrscheinlich als zweite Welle einer Cyber-Attacke dient.

„Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen,“ so Gostev.

Nur wenige infizierte Rechner

Auch wenn nur rund 50 bis 60 Rechner von miniFlame befallen sind, so bedeutet das nicht, dass die Bedrohung deswegen gering ist. Für Privat-Anwender besteht kein Grund zur Sorge, denn die Spionage-Software ist für das zielgerichtete Ausspionieren von (staatlichen) Behören oder Unternehmen, vornehmlich im Bereich Rüstung, gedacht. Das bösartige Programm sammelt Informationen von infizierten Rechnern und sendet sie an die Angreifer.

Datendiebstahl durch Cyber-Spionage wird ein wichtiges Thema für die Zukunft; Bild: Kaspersky Lab

Privat-Anwender uninteressant

Obwohl wir als einfacher Anwender uns derzeit keine Gedanken wegen miniFlame, Flame, Gauss & Co. machen müssen, so zeigt sich durch diese Trojaner die Bedrohung, die von Cyber-Spionage ausgeht. Im Mittelpunkt stehen hauptsächlich Banken, Telekommunikations-Unternehmen, Industrie-Unternehmen vor allem aus der Rüstungsindustrie, aber auch Regierungen und ihre Behörden.

Bedrohung durch Cyber-Spionage nicht auf leichte Schulter nehmen

Während es bei der Industrie-Spionage beispielsweise in der Automobil-Industrie meist um Wissen und Ideen geht, sind es bei Rünstungskonzernen, Telekommunikations-Unternehmen, Banken und Regierungen sensible Informationen, die eigentlich nicht in falsche Hände geraten sollten. Und genau hier liegt die Gefahr – zwar nicht für den Einzelnen, aber für die Gesamtheit der Bürger. Wir wollen hier keine Hysterie auslösen oder für unbegründete Panik sorgen, sondern lediglich aufzeigen, dass eine Bedrohung durch Cyber-Angriffe existiert und dass man es nicht auf die leichte Schulter nehmen sollte.

Wie groß die tatsächliche Gefahr ist, lässt sich kaum einschätzen. Denn die Berichte über Cyber-Spionage und Viren wie Flame oder Stuxnet stammen in der Regel von IT-Sicherheitsfirmen, deren Interesse es natürlich ist, ihre Produkte an den Mann zu bringen. Und Unternehmen und Regierungen halten sich über möglicherweise entdeckte Viren bedeckt, denn ihnen droht neben einem möglichen finanziellen auch ein Image-Schaden.

Cyber-Krieg bringt Fortschritt ins Straucheln

Für Kaspersky CEO und Mitbegründer Eugene Kaspersky ist daher auch der Schutz vor allem von Industrie-Anlagen ein ganz wesentliches Element, das in Zukunft im Mittelpunkt der Sicherheitsbemühungen stehen sollte. In seiner Rede auf der ITU Telecom World 2012 in Dubai weist er auf die Gefahren durch Cyber-Angriffe hin:

“Wir können es uns nicht erlauben, dass Cyberkrieg unseren Fortschritt ins Straucheln bringt. Cyberkriegsführung gefährdet nicht nur Staaten und Unternehmen, sondern auch gewöhnliche Menschen. Unser Hauptaugenmerk muss darauf liegen, dass Cyberwaffen unsere kritische Infrastruktur nicht angreifen können. Dieses Ziel muss von allen Verantwortlichen auf internationaler Ebene verstanden und umgesetzt werden," so Eugene Kaspersky.

Natürlich geschieht auch das sicherlich nicht ganz uneigennützig, doch wegdiskutieren lässt sich die zunehmende Bedrohung durch Cyber-Angriffe und Cyber-Spionage dennoch nicht.

Eugene Kaspersky, CEO und Gründer von Kaspersky Lab; Bild: Kaspersky Lab

Entwickler unbekannt

Wer genau hinter miniFlame sowie Flame, Gauss und auch Stuxnet steckt, ist bis heute nicht geklärt. Vermutungen dazu gibt es viele, unter anderem hieß es, dass die US-Regierung hinter Flame stecke, was jedoch nicht bewiesen werden konnte. Als sicher gilt jedoch, dass die Entwickler von Flame und miniFlame mit denen von Stuxnet, Duqu und Gauss zusammenarbeiten.

miniFlame seit 2007 in der Entwicklung

Die Experten von Kaspersky Lab gehen davon aus, dass die Entwicklung von miniFlame Anfang 2007 begonnen hatte und bis Ende 2011 andauerte. Außerdem wird angenommen, dass viele Varianten davon existieren, sechs hat Kaspersky Lab bereits identifiziert. miniFlame basiert auf der Architektur von Flame. Die Verbreitung ist jedoch wesentlich geringer. Daher und durch die flexiblen Eigenschaften von miniFlame gehen die Forscher bei Kaspersky Lab davon aus, dass der Backdoor-Trojaner für sehr gezielte Cyber-Spionage eingesetzt wurde. Vermutlich kam er bei Rechnern zum Einsatz, die bereits mit Flame oder mit Gauss infiziert waren.

miniFlame kann Screenshots eines infizierten Rechners erstellen. Die gestohlenen Daten werden über C&C Server hochgeladen, die auch von Flame genutzt werden können. So kann auch ein zusätzliches Modul an einen infizierten Rechner geschickt werden, das dann auch USB-Laufwerke infiziert und die gestohlenen Daten dort abspeichert, wenn keine Internet-Verbindung besteht.