Die Forscher von Kaspersky Lab haben kürzlich eine neue Ergänzung zur Familie des Spionagetrojaners Flame entdeckt. Dieser kleinere Trojaner, genannt miniFlame ist spezialisierter und es gibt Anzeichen für einen dritten, bisher unbekannten Vertreter dieser Trojanerfamilie.
Zunächst glaubte Kaspersky Lab eine frühe Version von Flame gefunden zu haben, bei der Analyse der genutzten Protokolle erwies sich diese Vermutung als falsch. miniFlame ist ein eingeständiger Spionage-Trojaner und stammt aus der gleichen Trojaner-Werkstatt wie Flame & Gauss. Er soll in den Jahren 2010-2011 genau zu Flame und Gauss entwickelt worden sein.
Nach Kasperskys Analyse kommt miniFlame innerhalb der Flame-Familie eine besondere Rolle zu. Er funktioniert einerseits als eigenständiger Trojaner kann andererseits ebenfalls als Plugin für Flame und Gauss genutzt werden. Das heißt: Flame oder Gauss können miniFlame nachladen, etwa um einen direkten Zugriff auf den infizierten Rechner zu ermöglichen.
Diese Kommandos kann der Kontrollserver an miniFlame senden.
Angriffswellen via Flame, Gauss und miniFlame laufen demnach vermutlich wie folgt ab: Zuerst werden viele mögliche Ziele mit Flame & Gauss infiziert. In Phase zwei werden die Daten der Opfer eingeholt. Mit Hilfe dieser Daten spezifizieren die Angreifer welche Opfer sich als besonders lohnenswert erweisen könnten. Im letzten Schritt werden den so ausgewählten Opfern mit dem Spionagetrojaner miniFlame wichtige Daten geklaut.
Der spezialisierte Zugriff schlägt sich auch in den Zahlen nieder: Kaspersky registrierte Flame und Gauss auf etwa 10․000 Systemen im mittleren Osten, während miniFlame nur auf ein paar Dutzend Rechnern in West-Asien nachgewiesen wurde. Das bestätigt Kasperskys Einschätzung, dass miniFlame als "äußerst präzises Internet-Spionage-Werkzeug" genutzt wird.
Die Analyse ist derweil noch nicht beendet. Neben Flame; Gauss und dem nun identifizierten miniFlame vermuten die Experten einen weiteren Trojaner. So hat die Analyse des Kommando-Servers ergeben, dass dieser drei verschiedene Protokolle "spricht". Eines für die Kommunikation mit Flame ein zweites für miniFlame und ein drittes dessen Gegenstelle derzeit noch nicht gesichtet wurde. Kaspersky hat diesen "Higgs-Trojaner" vorerst "IP" getauft. Wie auch Flame, Gauss und miniFlame wird er der gleichen Trojaner-Werkstatt zugeordnet.
Kaspersky spricht im Kontext der neuen Erkenntnisse zu Flame & Co. davon, bisher "wahrscheinlich nur an der Oberfläche" der massiven Cyber-Spionage-Operationen im mittleren Osten "gekratzt" zu haben. Angestoßen hat die Analyse die internationale Fernmeldeunion (ITU) und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss an der Untersuchung beteiligt gewesen sein, zumindest legt das der Dank von Kaspersky Lab nahe. Wie ebendies das BSI an der Untersuchung beteiligt war wollte es uns auf Anfrage aber nicht mitteilen.
Kommentare