Themenüberblick
Viel mehr Code als „Stuxnet“
Die Experten von Kaspersky stehen bei der Entschlüsselung des Virus nach eigenen Angaben noch am Anfang. Klar sei aber bereits, dass die Schadsoftware zahlreiche Komponenten für das Sammeln von Informationen besitze und sehr komplex sei. Kaspersky sieht darin eine neue Dimension der Cyberwaffen.
„Flame“ habe 20-mal mehr Code als „Stuxnet“, mit dem iranische Anlagen zur Urananreicherung angegriffen und Zentrifugen zerstört wurden. Wie gefährlich der Virus tatsächlich ist, ist noch unklar, umso mehr, als er bereits seit Jahren aktiv sein soll. Möglicherweise steht die politische Dimension - sprich der Dauerkonflikt über das iranische Nuklearprogramm - im Vordergrund.
Umfangreicher Datensammler
Eine iranische Agentur für Datensicherheit teilte über ihre Website mit, „Flame“ habe eine „enge Verbindung“ zu „Stuxnet“ und sei möglicherweise für Cyberangriffe verantwortlich, die laut iranischen Angaben jüngst für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. „Flame“ kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chat-Konversationen aufzeichnen.
Laut Kaspersky zielt „Flame“ aber nicht auf bestimmte Einrichtungen ab, sondern trifft Privatpersonen, wissenschaftliche Einrichtungen und auch Behörden. Es gebe auch sonst kaum Gemeinsamkeiten mit „Stuxnet“ und „Duqu“, viel eher seien die Angriffe parallel verlaufen.
Israels Vizepremier heizt Gerüchte an
Teheran hatte Israel und die USA für die „Stuxnet“-Attacke verantwortlich gemacht. Israels Vizepremier, der frühere Militärchef Mosche Jaalon, heizte am Dienstag die Gerüchteküche an, Israel könnte auch hinter der jüngsten Attacke stehen. Gefragt, ob der neue Virus vom selben Land programmiert worden sein könnte wie „Stuxnet“, meinte Jaalon, „offensichtlich“. „Wenn jemand die iranische Bedrohung als echte Gefahr sieht, ist anzunehmen, dass er verschiedene Schritte unternehmen wird, um den Iran zu treffen, auch mittels Computerviren.“ Israel sei ein Land mit außergewöhnlich hoher IT-Kompetenz, die „alle möglichen Alternativen“ eröffne, so Jaalon im israelischen Armeeradio.
„Stuxnet“ attackierte Anlagen
Der 2010 entdeckte Virus „Stuxnet“ wurde für Industrieprogramme entwickelt - damals ein Novum. Er hatte vor allem Industrieanlagen wie Kraftwerke und Chemiefabriken befallen. Betroffen waren auch Kunden, die das Siemens-Steuerungssystem Simatic einsetzten. Laut Siemens erlitt kein Unternehmen konkreten Schaden.
Die Regierung im Iran reagierte auf die Berichte über „Flame“ mit einer scharfen Attacke auf Israel. Der iranische Außenamtssprecher Ramin Mehmanparast sagte auf einer Pressekonferenz in Teheran, „Flame“ sei „nichts Wichtiges“. „Es gibt nun einmal illegitime Regime, die nur eines im Sinn haben: Verbreitung von Viren, um anderen Ländern zu schaden. Man sollte daher versuchen, nicht nur diese Viren, sondern auch die Ursache dieser Viren auszutrocknen.“ Der Iran hatte bereits in der Vergangenheit Israel und die USA für derartige Cyberangriffe verantwortlich gemacht.
Israel vermutet so wie der Westen, dass Teheran unter dem Deckmantel ziviler Nukleartechnologie an einer Atombombe baut. Israel, das sich von einer Atommacht Iran in seiner Existenz bedroht fühlt, kritisierte auch die jüngsten - bisher ergebnislosen - Verhandlungen zwischen Teheran und der Sechsergruppe aus den UNO-Vetomächten und Deutschland. Israel sieht darin lediglich ein Spiel auf Zeit des schiitischen Regimes.
Tausende Computer betroffen
Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen im Iran, in Israel, in den Palästinensergebieten, im Sudan und in Syrien, so Kaspersky. Über den möglichen Urheber der Schadsoftware wollte der Anbieter keine Angaben machen, Ziel und Aufbau der Schadsoftware legten aber nahe, dass der Virus aus einem staatlichen Umfeld komme. Laut Kaspersky ist bisher unklar, ob der Virus wie „Stuxnet“ eine bestimmte Aufgabe hat.
5.000 infizierte Computer seien relativ wenig, so die heimische IT-Sicherheitsorganisation CERT.at gegenüber ORF.at, wenn man in Dimensionen von Botnetzen denke - für eine gezielte Attacke hingegen sei die Zahl gar nicht gering. Grundsätzlich seien die einzelnen Funktionen nichts Neues, es sei aber noch zu früh, die ganze Dimension des Virus und seiner Funktionen abzuschätzen. Bei derartiger Schadsoftware sei es immer schwierig, den Urheber herauszubekommen, in diesem Fall dürfe man die politische Komponenten aber sicher nicht außer Acht lassen.
"Das ist eine von vielen Kampagnen, die sich die ganze Zeit ereignen und deren Existenz niemals an die Öffentlichkeit dringt, so der Politologe Alexander Klimburg, Verfasser eines EU-Cybersecurity-Berichts am Österreichischen Institut für Internationale Politik (ÖIIP), gegenüber der Nachrichtenagentur Reuters.
„Komplexer als ‚Duqu‘“
Laut Kaspersky wurde der Virus entdeckt, nachdem eine UNO-Agentur die Firma gebeten habe, Daten über Schadsoftware im Nahen Osten zu analysieren. Laut Vikram Thakur von Symantec ist die Wahrscheinlichkeit „hoch“, dass „Flame“ zu den bisher komplexesten Beispielen von Schadsoftware gehöre. Webroot, ein anderer Rivale von Kaspersky, zeigte sich dagegen skeptisch und spielte die Gefahr von „Flame“ herunter: Webroot entdeckte laut eigenen Angaben den Virus bereits 2007, sein Code sei nicht besonders bedrohlich und leicht zu entdecken und zu löschen. „Es gibt viel gefährlichere Bedrohungen“, so das Resümee von Joe Jaroch, Vizechef von Webroot.
Links:
Publiziert am 29.05.2012