Virus: Flame tarnt sich als Microsoft-Programm

Der neue Computerschädling Flame ist weitaus leistungsfähiger, als bislang vermutet. Flame hat nach neuesten Erkenntnissen Microsoft-Zertifikate missbraucht, um sich vor Sicherheitssoftware zu verbergen. Mit deren Hilfe habe sich der neue Computerschädling als Microsoft-Programm tarnen können, sagte der Virenjäger Candid Wüest von der Sicherheitsfirma Symantec am Dienstag der FTD.

Kursinformationen und Charts

		[]	%
1 Tag 5 Tage 3 Monate 1 Jahr 3 Jahre
		[]	%
1 Tag 5 Tage 3 Monate 1 Jahr 3 Jahre

Auf diese Weise sei es zum Beispiel möglich, dass Rechner Flame als automatisches Updates laden. "Das wurde immer befürchtet, ist aber das erste Mal, dass das bei Microsoft passiert ist", so Wüest.

Microsoft hat nach eigenen Angaben in einem Blog-Eintrag die fraglichen Zertifikate aus dem Verkehr gezogen und Updates eingesetzt, um seine Kunden zu schützen. "Unsere Untersuchungen gehen weiter", schrieb Mike Reavey, Direktor im Microsoft -Sicherheitszentrum in einem Blogeintrag.

Die Programme des weltgrößten Softwareherstellers sind schlicht wegen ihrer großen Verbreitung eine dankbare Zielscheibe für Attacken. Dass Cyberkriminelle Sicherheitssoftware missbrauchen, kam bislang eher selten vor, sagte Wüest.

Bekannt sind die Fälle der Anbieter von Sicherheitszertifikaten Comodo und Diginotar. Auch der Anbieter von Sicherheitstechnologie, RSA Security, war vergangenes Jahr ausspioniert worden. Damals griffen die Hacker mit Hilfe der manipulierten RSA-Technologie den Rüstungskonzern Lockheed Martin  an.

Vergangene Woche hatten die Anbieter von Sicherheitssoftware Kaspersky Lab und Symantec  sowie das ungarische Laboratory of Cryptography and System Security auf den neuen Schädling hingewiesen. Auch das iranische Computer Emergency Response Team (Cert) hat den Code analysiert.

Spur nach Deutschland und Österreich

Flame war vor allem auf Ziele im Iran und dem Nahen Osten gerichtet. In Deutschland hinterließ der Schädling bislang keine Spuren. Im Gegensatz zu Stuxnet war Flame nach bisherigen Erkenntnissen vor allem ein Spionageinstrument. Hinweise auf die Möglichkeit zur Sabotage gibt es bislang nicht.

Kaspersky Lab hatte am Montag neue Erkenntnisse über Flame veröffentlicht. Bemerkenswert sei, dass Flame es besonders auf sogenannte Autocad-Dokumente abgesehen hatte, sagte Roel Schouwenberg, Sicherheitsanalyst bei Kaspersky Lab. Das ist ein weiteres Indiz, dass der Schädling zur Industriespionage verwendet wird.

So genannte Cad-Software (Computer Aided Design) wird zum Beispiel für Konzeptionszeichungen in der Industrie verwendet. Das sei eine Parallele zu dem Stuxnet-Verwandten Duqu, der auf das iranische Atomprogramm gerichtet war, sagte Schouwenberg. Allerdings sei der Code von Flame nicht auf der Tilded-Plattform geschrieben wie Stuxnet und Duqu.

Nach den Untersuchungen von Kaspersky sind die Command & Control-Server, von denen der Trojaner kontrolliert wurde, wenigen Stunden nach der ersten Veröffentlichung über den Schädling abgeschaltet worden. Für die Internetadressen (Domains) unter denen die Server angemeldet waren, seien falsche Identitäten genutzt worden. Diese stammten interessanterweise vorwiegend aus Deutschland und Österreich. Warum, konnte Schouwenberg noch nicht erklären.

Zu der Microsoft-Sicherheitslücke wollte Schouwenberg zu dem Zeitpunkt noch keine Einschätzung wagen: "Ich wachte heute morgen mit den Nachrichten auf und konnte es nicht glauben. Ich musste mich fragen, lese ich das gerade richtig?"