+43 699 / 18199463
office@itexperst.at

An Flame wurde schon vor längerer Zeit entwickelt als gedacht

Forscher von Symantec und Kasperky haben zwei Kommandoserver von Flame untersucht und sind auf interessante Einzelheiten gestoßen. Trotz der Versuche der Entwickler, die Spuren zu verwischen, gibt es Hinweise, dass ähnliche Malware wie Flame bereits seit einiger Zeit existiert. Die drei Versionen sind bisher noch nicht in der Öffentlichkeit gesichtet worden.

Flame ist ein hoch-entwickeltes Spionagewerkzeug, womit in diesem Jahr im Iran und Mittleren Osten Netzwerke ausspioniert wurden, um effiziente Angriffe mit Stuxnet auszuführen. Ca. 10.000 Computer dürften davon betroffen worden sein.

Die Entwicklung von Flame begann 2006 und wurden von vier Hauptentwicklern (vier Aliasnamen im Code) durchgeführt.

Timeline von Flame

Timeline von Flame. (c) by Kaspersky Lab. Alle Rechte vorbehalten.

Ein Sprecher von Symantec:

“For us to know that a malware campaign lasted this long and was flying under the radar for everyone in the community, it’s a little concerning. It’s a very targeted attack, but it’s a very large-scale targeted attack.”

Einige der Entdeckungen:

  • Mindestens vier Entwickler hinterließen deren Pseudonyme im Code.
  • Da innerhalb einer Woche ein Kommandoserver mit 5.000 infizierten Maschinen Kontakt hatte, wird der Befall auf 10.000 Computer geschätzt.
  • Die Infizierung erfolge nicht auf einmal, verschiedene Gruppen von Computern wurden zu verschiedenen Zeiten befallen. Opfer sind hauptsächlich Computer im Iran und in Syrien, neben Libanon, Sudan, Israel und Palästina und einigen Staaten in Nordafrika geworden.
  • Die Angreifer stahlen eine Unmenge von Daten in einer Woche, ca. 5,5 GigaByte, etwa 2 große moderne Festplatten voll.
  • Vier verschiedene Protokolle wurden in der Software verwendet, um mit dem Server zu kommunizieren.
  • Die gestohlenen Daten wurden mit einem privaten Schlüssel verschlüsselt auf dem Kommandoserver gespeichert. Die Daten sind damit den Forschern nicht zugänglich.
  • Die Angreifer versuchten, die Spionagesoftware über einen Löschbefehl von den befallenen Rechnern im Mai 2012 zu löschen.

Die Forscher hatten Zugriff auf den Server bekommen, nachdem die Angreifer einen folgenschweren Fehler gemacht und sich selbst ausgesperrt hatten. Alle HTTP-Logdateien über die Kommunikation mit den infizierten Systemen und die verschlüsselten Daten blieben erhalten.

Siehe auch:
USA und Israel entwickelten Flame
Flame-Wurm stammt von Stuxnet ab
Flame-Malware verübt Suizid
Stuxnet wurde von Obama beauftragt

Artikel von wired.com, 17.09.2012: Coders Behind the Flame Malware Left Incriminating Clues on Control Servers
Full Analysis of Flame’s Command & Control servers

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen