Vermutlich schon seit fünf Jahren aktiv

„Flame“: Komplexer Spionagevirus im Nahen Osten (Update)

Im Nahen Osten ist erneut ein komplexer Spionagevirus aufgetaucht. Entdeckt wurde er von der russischen Anti-Virus-Firma Kaspersky Labs, als eine UN-Telekommunikationsagentur mit der Bitte an sie herantrat, jenen anderen Virus zu analysieren, der unlängst im Iran für Datenverluste sorgte.

Laut einem ungarischen Virus-Analysten soll der Schädling auf das Beschaffen von Informationen ausgelegt sein. Symantec klassifiziert das Schadprogramm als hochgradig komplex und hinsichtlich dieses Aspektes als dem schon länger bekannten Virus Stuxnet ebenbürtig. Vom Codeumfang her schlägt „Flame“ ihn allerdings, er bringt das zwanzigfache an Umfang auf die Waage. Auch sonst bestehen Ähnlichkeiten zwischen den beiden Viren hinsichtlich der jeweils genutzten Lücken in den Windowsbetriebssystemen und den Verbreitungstechniken.

Aufgrund des Umfanges der Codes könne das Programm schwerlich von einer einzelnen Person geschrieben worden sein. Vielmehr stimmt man hier de facto mit der Ansicht des ungarischen Unternehmens überein, wonach hinter dieser Entwicklung eine Organisation mit beträchtlichen Ressourcen stehe, die höchstwahrscheinlich einen staatlichen Hintergrund hat. Ein leitender Mitarbeiter Symantecs merkte sogar an, dass es sich hierbei womöglich um das bislang komplexeste Stück an Schadsoftware handle, das bisher bekannt geworden ist.

Aufgrund des schon erwähnten relativ großen Umfanges des Codes und seiner doch veritablen Komplexität schätzt der bereits angesprochene ungarische Sicherheitsspezialist das Programm jedoch als relativ alt und somit als eines der ersten Generation ein. Das Alter des Schadprogrammes wird daher auf zumindest fünf Jahre geschätzt, eventuell sogar acht. Ein Mitarbeiter des britischen Cyber-Security-Unternehmens Dtex Systems meinte angesichts dessen, dass wenn solch wirkmächtige Software schon vor einer solchen verhältnismäßig langen Zeit verfügbar war, er nicht wissen wolle, was derzeit schon „state of the art“ sei.

Laut den Angaben von Kaspersky soll der Virus sich auf das Aufzeichnen von Netzwerkverkehr, das Anfertigen von Screenshots, Keylogging und das Mitschneiden von Gesprächen über ein etwaiges an den Computer angeschlossenes Mikrofon konzentrieren. Die Verbreitung soll im Iran am größten sein, danach kommen Israel, die palästinensischen Autonomiegebiete, Syrien und der Sudan.

Update 30.05.2012 17:26 Uhr (Forum-Beitrag)

Wie einer Meldung des Spiegel mit Bezug auf die iranische Nachrichtenagentur IRNA zu entnehmen ist, hat der iranische Minister für Informationstechnologie Ali Hakim Dschawadi verlauten lassen, dass iranische Experten bereits ein Programm verfertigt haben, mit dem man in der Lage sei, den „Flame“-Virus auf einem befallenen Rechner aufzuspüren und zu löschen.

Gleichzeitig kam von den iranischen Streitkräften die Meldung, dass der Virus angeblich vorübergehend Rechner der staatlichen Ölindustrie befallen habe. Verifizierbar sind diese Aussagen allerdings naheliegenderweise nicht, sodass hier im Hinterkopf behalten werden sollte, dass in solchen Fällen mitnichten die gesamte Faktenlage der Öffentlich preis gegeben wird.

Es kann daher nicht ausgeschlossen werden, dass der Virus sich nicht innerhalb der staatlichen Stellen des Irans wesentlich weiträumiger verbreitet hat.

Mehr zum Thema