Russische IT-Experten haben ein neues, hochkomplexes Computervirus entdeckt, das sie Flame getauft haben. Strukturell ähnele die Schadsoftware dem Virus Stuxnet, der iranische Atomanlagen befallenhatte, gab die Sicherheitsfirma Kaspersky Lab bekannt. Flame sei aber deutlich größer und könne auf mehrere Arten Computer ausspionieren: Die Software kann nach den Erkenntnissen Kasperskys Daten aus E-Mails, Dokumenten und aus Chats protokollieren, Bildschirmfotos machen sowie Mikrofone einschalten.
„Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen“, sagte Firmen-Chef Eugene Kaspersky. Bei Flame handele es sich zudem um das erste bekannte Computervirus, das drahtlose Bluetooth-Technologie nutzen könne, um Befehle und Daten zu senden und zu erhalten, sagte Roel Schouwenberg von Kaspersky. Einige Merkmale von sowohl Stuxnet als auch Flame deuteten darauf hin, dass Auftraggeber oder Programmier-Teams verantwortlich seien. Es sei sehr wahrscheinlich, dass es sich um zwei Teams handele, „die im Grunde am gleichen Programm arbeiten, aber zwei sehr verschiedene Ansätze nutzen“, so Schouwenberg.
„Sehr gezielter Einsatz“ von Flame
Dies könnte auch erklären, warum Flame erneut wieder Computer im Nahen und Mittleren Osten befallen hat. Infiziert sind laut Kaspersky vor allem Computer im Iran, in Israel, den Palästinensergebieten und Syrien. Auch einige Systeme in Sudan, Saudi-Arabien, Ägypten und dem Libanon seien betroffen. Dagegen sei die Schadsoftware bisher weder in Europa noch in den USA entdeckt worden. Insgesamt sollen bis zu 5000 Computer infiziert worden sein. Bisher wurden rund 600 infizierte Systeme identifiziert – davon 198 im Iran.
Mit einer Größe von rund 20 Megabyte ist Flame vergleichsweise groß. Das Virus besteht aus 20 einzelnen Software-Modulen, die von Kaspersky noch nicht alle im Detail analysiert wurden. Außerdem sei er mit einer Nachlade-Option ausgestattet, so dass der Schädling ständig um weitere Funktionen ausgebaut werden kann. Das Programm verbreitet sich Kaspersky zufolge über infizierte USB-Sticks, manipulierte E-Mails und Websites sowie über lokale Netzwerke.
ARD-Computerexperte Jörg Schieb vermutet, dass Flame sehr gezielt zur Spionage eingesetzt wurde. Das Virus richte sich nicht gegen normale Nutzer, sondern auf einen begrenzten Nutzerkreis in Nahost. Die Komplexität des Programms mache es unwahrscheinlich, dass eine kleine Hackergruppe verantwortlich sei. Vermutlich sei der Auftraggeber eine Regierung, die über die nötigen finanziellen Mittel verfüge.
Wer steckt hinter Flame?
Auch bei Stuxnet war nie geklärt worden, wer die Programmierung in Auftrag gegeben hatte. Da sich Stuxnet gegen das iranische Atomprogramm gerichtet hatte, war darüber spekuliert worden, ob Israel, die USA oder beide Staaten zusammen dafür verantwortlich waren.
Den Auftrag zur Flame-Fahndung erhielt Kaspersky Lab, das Flame weiter analysiert, nach eigenen Angaben von der UNO. Die UN-Kommunikationsagentur ITU habe die IT-Firma um eine Analyse gebeten, nachdem im Mittleren Osten Daten im großen Stil verschwunden waren.
Der Iran reagierte bereits auf die Enttarnung von Flame. Es sei eine Anti-Virus-Software hergestellt worden, die Flame identifizieren und entfernen könne, gab das iranische Kommunikationsministerium bekannt.
Virus blieb jahrelang unentdeckt
Offenbar blieb Flame jahrelang unentdeckt. Laut Kaspersky ist das Programm seit bis zu fünf Jahren aktiv. Es könnte also parallel zu Stuxnet entwickelt und eingesetzt worden sein. Sollten sich die Angaben des russischen Unternehmens bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyber-Waffe, die im großen Stil verbreitet wurde.