Der nächste Cyber-Angriff?
An diesem Pfingstmontagabend sehe ich bislang nur, wie die Welle auch auf die deutschen Medien überschwappt: Es scheint neu entdeckte – oder bewertete – Computer-Schadsoftware zu geben , die mit dem Namen Flamer belegt wird; sie soll vor allem Ziele im Nahen Osten angreifen – und Iran spielt auch eine (Ziel)Rolle.
Ein paar Infos dazu hier von Symantec: Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East und beim Blogger-Kollegen von The Aviationist: “Flame” malware infiltrating Middle East computers: the most complex Cyber Weapon, ever!
Das erst mal nur, um das Thema aufzugreifen – die Bedeutung dieser Software ist mir noch nicht ganz klar. Es scheint sich um einen neuen, komplexen Angriff zu handeln, der Stuxnet überholt. Aber wieso und mit welchem Ziel? Ich bin sicher, in den nächsten Tagen werden wir dazu noch mehr lesen.
Auch Wired Blog Threat Level hat über Flamer sehr informativ berichtet:
http://www.wired.com/threatlevel/2012/05/flame/
Die Malware ansich scheint schon seit einiger Zeit aktiv zu sein. Mikko Hypponen hat dazu auch gebloggt (und das sehr offen:“Stuxnet, Duqu and Flame are all examples of cases where we – the antivirus industry – have failed. All of these cases were spreading undetected for extended periods of time.“):
http://www.f-secure.com/weblog/archives/00002371.html
Dort sind auch weiterführende Links vorhanden.
Diese Schadsoftware scheint einen viel breiter angelegten Kreis von Angriffszielen anzusprechen, denn es sollen ja wohl vorrangig Desktop-PCs ausgespäht werden (Mikrofon, Bluetooth, Keyboard-Logger).
Stuxnet indes richtet sich speziell gegen diese industriellen Steuermodule von Siemens. Ziel war die Sabotage, während „Flamer“ spioniert.
Und eine Frage hätte ich mal an die Experten:
Es müsste doch relativ offensichtlich sein, mit welchen C&C-Servern das Programm kommuniziert. Das sollte doch Rückschlüsse auf den Urheber erlauben. Oder lässt sich dieser Kommunikationsweg perfekt tarnen?
US-Einheiten sollen über Nordkorea abgesprungen! Gibt es da nähere Infos? s
@Elahan
Die Zuneigung zu OT-Themen ist ähnlich verbreitet wie die Zuneigung zu ungesicherten reißerischen Meldungen…
Vielleicht schafft das hier ein wenig Klarheit, oder das hier.
@chickenhawk
„Es müsste doch relativ offensichtlich sein, mit welchen C&C-Servern das Programm kommuniziert. Das sollte doch Rückschlüsse auf den Urheber erlauben. Oder lässt sich dieser Kommunikationsweg perfekt tarnen?“
Diese CC-Server sind doch nicht hardware gebunden, will sagen: die Flame-CC-server sind wie bei einem Bot Netz auf irgend welchen gekaperten PC installiert, vielleicht auf Ihrem ;-)
@T.W.
Danke für den Link, war dringend und hatte nur eingeschränkt Zugang zum Netz. Sie können gerne beide Kommentare löschen (da O.T.)
@ klabautermann
Bei mir hätte Flame einiges zu knabbern, weil ich seit fast 5 Jahren nur noch mit Linux im Internet unterwegs bin. Zudem hat mein Rechner weder ein Mikrofon, noch eine Kamera. Und meine Pläne zur Übernahme der Weltherrschaft liegen in einem TrueCrypt-Container ;-)
Also vermutlich wird man über den Urheber von Flame ebenso nur Mutmaßungen anstellen können, wie das auch schon bei Stuxnet der Fall war.
Interessant ist, dass bei Flame als Verbreitungsgebiet ausdrücklich auch Israel genannt wird.
@chickenhawk
„Interessant ist, dass bei Flame als Verbreitungsgebiet ausdrücklich auch Israel genannt wird.“
Ich mir vorstellen, dass Israel aus Verschleierungsgründen offiziell auf der Liste der „Betroffenen“ steht. Das fiele auf bzw. ließe Rückschlüsse auf die Herkunft zu, wenn Israel nahezu alleine den „weißen Fleck“ auf der Karte der betroffenen Gebiete des Nahes Ostens bildete. Wie gesagt, lediglich eine Vermutung.
@chickenhawk et al:
Solche C&C-Server sind allerdings meistens gekaperte Linux-Server. Der heimische PC wird dafür nicht verwendet, da die Ausfallzeiten (Benutzer fährt den Rechner herunter…) zu lange sind, ein C&C-Server in der Regel aber ständig erreichbar sein muss.
Es gibt zig Methoden die Kommunikation so zu verschleiern, dass man defacto nicht nachvollziehen kann, wohin die Daten letztendlich gehen. Man kann auch nur mutmassen, ob „nur“ die genannten Länder betroffen sind. Ich gehe stark davon aus, dass Varianten auch andere Länder „anpeilen“. Ich persönlich gehe ohnehin davon aus, dass das Ausspionieren auch zwischen eigentlich alliierten Nationen über Malware mittlerweile überall passiert. – In DE wird doch bereits der eigene Bürger bei „hinreichenden Verdacht“ entsprechend angegriffen. Da liegt der Schritt zur Auslandsspionage auf diesem Wege gar nicht so weit weg.
Zum Thema „Linux/Windows/MacOS/etc. ist sicherer als die Anderen“: FALSCH! Windows wird lediglich als meistgenutztes OS entsprechend auch am meisten angegriffen. Für die Kriminellen (Deren Ziel es ist, Geld zu verdienen) ist dies schlicht wirtschaftlicher als Linux oder MacOS zu attackieren. Wobei speziell in Sachen MacOS und MobileOS anscheinend die Attraktivität steigt. Zumindest sieht man ein Ansteigen der Zahlen und vor allem auch der Qualität (technisch gesehen) entsprechender Malware.
Setze ich jedoch auf Spionage, und diese wird in der Regel etwas weniger weitläufig betrieben, kann ich bedenkenlos die vermeintlich „sicheren“ Systeme als „Brücken“ einbeziehen.
Zu den Standorten der C&C-Server und der Nachvollziehbarkeit der Hintermänner: Bei dem vorangegangenen Cyberangriff via „Duqu“ lagen diese Server in sehr verschiedenen Ländern, u.a. in Deutschland. Rückschlüsse auf die Verursacher lässt das allerdings kaum zu…
http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Part_Six_The_Command_and_Control_servers
http://www.haaretz.com/news/diplomacy-defense/netanyahu-deputy-hints-at-israeli-involvement-in-iran-cyber-attack-1.433120
@chickenhawk:
Bingo. Danke für den Link.
So etwas besonderes scheint an Flamer laut BSI nicht dran zu sein.
http://www.heise.de/security/meldung/BSI-Flame-keine-Superwaffe-im-Cyberkrieg-1587849.html