Neue Cyber-Waffe

Experten enttarnen hochkomplexen Spionage-Virus

(Bild: 2009 Photos.com, a division of Getty Images)

Experten für IT-Sicherheit haben einen neuen, hochkomplexen Computervirus entdeckt. Die "Flame" getaufte Schadsoftware habe Tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte der Sicherheitsanbieter Kaspersky Lab am Montag mit. Sollten sich die Angaben des russischen Unternehmens bestätigen, wäre Flame nach Stuxnet und Duqu die dritte entdeckte Cyber-Waffe, die im großen Stil verbreitet wurde.

Die Experten von Kaspersky stehen bei der Entschlüsselung des Virus nach eigenen Angaben noch am Anfang. Flame habe 20 Mal mehr Code als Stuxnet (siehe Infobox), mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Aufgrund dieser Komplexität und der Tatsache, dass es äußerst zielgerichtet eingesetzt wurde, sei der Schädling bislang nicht von Sicherheitssoftware entdeckt worden.

Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, Flame habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben kürzlich für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten.

Vielfältige Talente
Das Schadprogramm wurde von Kaspersky während einer Untersuchung im Auftrag der zur UNO gehörenden Internationalen Fernmeldeunion ITU (International Telecommunication Union) als Worm.Win32.Flame entdeckt. Die UN-Behörde will in Kürze eine Warnung vor der Schadsoftware herausgeben, wie ihr Sicherheitschef Marco Obiso ankündigte. Das sei die ernsteste Warnung, die seine Einrichtung jemals ausgesprochen habe.

Den Virenexperten von Symantec zufolge sei Flame in der Lage, Dokumente zu stehlen, Screenshots der infizierten Desktops zu schießen, sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten und sich unter bestimmten Bedingungen auf weitere Systeme zu kopieren.

Die Malware sei möglicherweise auch dazu fähig, über mehrere bekannte Schwächen von Windows, für die allerdings bereits Patches geschrieben wurden, über das Netzwerk andere Systeme zu infizieren, so das Unternehmen in einer Aussendung.

Urheber "gut organisiert und finanziert"
Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen im Iran, Israel, in den Palästinensergebieten, im Sudan und Syrien. Über den möglichen Urheber der Schadsoftware wollte Kaspersky keine Angaben machen. Wie seine beiden Vorgänger dürfte der Code nach Schätzungen von Symantec jedoch nicht von Einzelpersonen, sondern von einer gut organisierten und finanzierten Gruppe unter klaren Vorgaben entwickelt worden sein.

Israel als Drahtzieher?
Nicht auszuschließen ist, dass Israel hinter dem neuen Super-Virus steckt. Vize-Regierungschef Mosche Jaalon stritt eine Beteiligung Israels am Dienstag zwar ab, bezeichnete den Einsatz eines Virus im Kampf gegen die Bestrebungen des Iran, eine Atomwaffe zu entwickeln, zugleich jedoch als "sinnvoll" und heizte damit entsprechende Spekulationen an. Israel sei gesegnet, ein technologisch reiches Land zu sein, sagte Yaalon im israelischen Armee-Rundfunk. Viren wie der kürzlich entdeckte "eröffnen uns alle Möglichkeiten".

Die Regierung im Iran reagierte auf den Bericht mit einer scharfen Attacke auf Israel. Außenamtssprecher Ramin Mehmanparast sagte auf einer Pressekonferenz in Teheran: "Es gibt nun mal illegitime Regime, die nur eines im Sinn haben: Verbreitung von Viren, um anderen Ländern zu schaden. Man sollte daher versuchen, nicht nur diese Viren, sondern auch die Ursache dieser Viren auszutrocknen."

Gezielte Angriffe auf einzelne Privatpersonen
Laut ersten Untersuchungen von Symantec befinden sich die primären Ziele des Schadcodes in der West Bank in Palästina, Ungarn, dem Iran und dem Libanon. Zu den anderen Zielen gehörten Russland, Österreich, Hong Kong und die Vereinigten Arabischen Emirate. Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lasse sich aktuell noch nichts Konkretes sagen, allerdings deuteten die ersten Analysen darauf hin, dass nur wenige Opfer aus denselben Gründen attackiert worden seien.

Demnach hätten sich die Attacken mehr auf das Privatleben der Opfer statt auf ihre Arbeit oder ihre Rolle als Angestellte in einer bestimmten Organisation konzentriert. Interessanterweise scheinen die meisten infizierten Systeme private Rechner zu sein, die von zu Hause aus mit dem Internet verbunden waren, so die Experten von Symantec, die den Schadcode nun ebenso wie Kaspersky weiter untersuchen und in Kürze eine ausführliche technische Analyse veröffentlichen möchten.