An Flame wurde schon vor längerer Zeit entwickelt als gedacht
Forscher von Symantec und Kasperky haben zwei Kommandoserver von Flame untersucht und sind auf interessante Einzelheiten gestoßen. Trotz der Versuche der Entwickler, die Spuren zu verwischen, gibt es Hinweise, dass ähnliche Malware wie Flame bereits seit einiger Zeit existiert. Die drei Versionen sind bisher noch nicht in der Öffentlichkeit gesichtet worden.
Flame ist ein hoch-entwickeltes Spionagewerkzeug, womit in diesem Jahr im Iran und Mittleren Osten Netzwerke ausspioniert wurden, um effiziente Angriffe mit Stuxnet auszuführen. Ca. 10.000 Computer dürften davon betroffen worden sein.
Die Entwicklung von Flame begann 2006 und wurden von vier Hauptentwicklern (vier Aliasnamen im Code) durchgeführt.
Ein Sprecher von Symantec:
“For us to know that a malware campaign lasted this long and was flying under the radar for everyone in the community, it’s a little concerning. It’s a very targeted attack, but it’s a very large-scale targeted attack.”
Einige der Entdeckungen:
- Mindestens vier Entwickler hinterließen deren Pseudonyme im Code.
- Da innerhalb einer Woche ein Kommandoserver mit 5.000 infizierten Maschinen Kontakt hatte, wird der Befall auf 10.000 Computer geschätzt.
- Die Infizierung erfolge nicht auf einmal, verschiedene Gruppen von Computern wurden zu verschiedenen Zeiten befallen. Opfer sind hauptsächlich Computer im Iran und in Syrien, neben Libanon, Sudan, Israel und Palästina und einigen Staaten in Nordafrika geworden.
- Die Angreifer stahlen eine Unmenge von Daten in einer Woche, ca. 5,5 GigaByte, etwa 2 große moderne Festplatten voll.
- Vier verschiedene Protokolle wurden in der Software verwendet, um mit dem Server zu kommunizieren.
- Die gestohlenen Daten wurden mit einem privaten Schlüssel verschlüsselt auf dem Kommandoserver gespeichert. Die Daten sind damit den Forschern nicht zugänglich.
- Die Angreifer versuchten, die Spionagesoftware über einen Löschbefehl von den befallenen Rechnern im Mai 2012 zu löschen.
Die Forscher hatten Zugriff auf den Server bekommen, nachdem die Angreifer einen folgenschweren Fehler gemacht und sich selbst ausgesperrt hatten. Alle HTTP-Logdateien über die Kommunikation mit den infizierten Systemen und die verschlüsselten Daten blieben erhalten.
Artikel von wired.com, 17.09.2012: Coders Behind the Flame Malware Left Incriminating Clues on Control Servers
Full Analysis of Flame’s Command & Control servers