'Flame': hochkomplexe Cyberwaffe entdeckt (Screenshot: Kaspersky Lab)Virenschutz-Experten haben die wohl ausgefeilteste Cyberwaffe aller Zeiten entdeckt. Der Trojaner „Flame" kann die Nutzer befallener Computer in ungeahnter Form ausspionieren - unter anderem, indem er die Mikrofone der Rechner ansteuert und so das Abhören von Gesprächen ermöglicht. Enttarnt haben die Schadsoftware der Superlative Analysten der Antiviren-Software-Firma Kaspersky Lab. Hinter der Entwicklung der Spionagesoftware stecken wahrscheinlich politische Motive. Dafür spricht vor allem deren Verbreitungsgebiet: der Nahe Osten.
„Man kann Flame getrost als eine der komplexesten Bedrohungen bezeichnen, die bisher entdeckt wurden", so Kaspersky Lab Experte Alexander Gostev. Aber was genau ist „Flame"? Und was macht den Schädling so gefährlich? „Flame" ist vor allem eines, erklärt Gostev: wesentlich ausgefeilter als sein Vorgänger Duqu. „Es handelt sich um einen Trojaner mit Wurm-typischen Eigenschaften, der sich innerhalb eines Netzwerks oder via Datenträger verbreiten kann", so der Kaspersky-Analyst. Welche Sicherheitslücke die Schadsoftware genau nutzt, ist nicht bekannt. Wahrscheinlich verbreitet er sich aber über infizierte WLAN-Netze, Websites oder USB-Sticks.
Ist der Wurm erst mal in ein System eingedrungen, verfügt er über ein komplexes Netz von Anweisungen. Unter anderem kann „Flame" Traffic ausspionieren und Screenshots von den befallenen Rechnern anlegen (z.B. von Chats). Außerdem kann er einen Rechner in eine perfekte Wanze verwandeln, da er über das integrierte Mikrofon Gespräche aufzeichnet. All diese Informationen erreichen die Urheber der Schadsoftware über Kontroll-Server. Flame ist über diese Schaltzentralen außerdem erweiterbar. Bis zu 20 Module haben die Experten von Kaspersky Lab derzeit identifiziert. Sie arbeiten im Auftrag der „International Telecommunication Union" der UNO an dem Fall.
Seit rund zwei Jahren wütet „Flame" offenbar schon auf diversen Rechnern. Zwar entdeckten die Analysten von Kaspersky Dateien, die auf die Jahre 1992, 1994 und 1995 datiert sind, wirklich zurückverfolgen lässt sich die Cyberwaffe aber erst auf August 2010. „Wir vermuten, dass er schon seit Februar 2010 aktiv ist. Vielleicht gibt es eine noch frühere Version, wir haben aber keine Daten, die das bestätigen", so Gostev.
Inzwischen sind rund 5000 Rechner betroffen — vor allem im Nahen Osten: Iran, Libanon, Syrien, Israel, Sudan, Saudi Arabien und Ägypten sind die Hauptverbreitungsgebiete von „Flame". Dabei sind die Opfer-Zielgruppen vielfältig. Individuen, Bildungseinrichtungen und staatliche Organisationen werden von den bisher unbekannten Urhebern via „Flame" ausspioniert.
Drei Gruppen von Schadsoftware-Nutzern kämen prinzipiell als Urheber von „Flame" in Frage: sogenannte „Hacktivists", politisch motivierte Hacker-Gruppen, Cyberkriminelle und Nationalstaaten. „Flame stiehlt kein Geld und unterscheidet sich in seiner Komplexität wesentlich von den eher simplen Programmen sogenannter Hacktivists", so Alexander Gostev von Kaspersky. "Also gehen wir davon davon aus, dass die dritte Gruppe für den Schädling verantwortlich ist." Demnach müsste ein Staat hinter dem Trojaner stecken. Klar ist jedenfalls: „Flame" könnte die Tradition effektiver Cyberwaffen fortsetzen. Bereits „Stuxnet" und dessen Nachfolger „Duqu" wurden mit dem Ziel geschrieben, das iranische Kernkraftwerk Buschehr zu stören.