Sicherheit Supervirus "Flame" tarnte sich als Windows-Update
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.
News folgen
Bei der Untersuchung des Supervirus "Flame" hat die Sicherheitsfirma Kaspersky eine beunruhigende Entdeckung gemacht. Laut den Experten verbreitete sich die Cyber-Waffe als Windows-Update getarnt. Die US-Regierung warnte unterdessen amerikanische Unternehmen, dass "Flame" auch in den USA zuschlagen könnte.
Am Montag teilte der Kaspersky-Mitarbeiter Costin Raiu über den Kurznachrichtendienst Twitter mit, Flame könne sich über infizierte Windows-Updates auf den Rechnern eines Computer-Netzwerkes installieren. Der Supervirus enthalte ein Modul, das offizielle Update-Pakete von Microsoft während des Transfers abzufangen, den Virus darin zu verstecken und die so infizierten Pakete an andere PC im Netzwerk weiterzuleiten – eine sogenannte Man-in-the-Middle-Attacke.
Dabei soll Flame die Updates über virtuelle Server mit der Bezeichnung MSHOME-F3BE293C an andere Netzwerk-Computer verteilt haben. Weil die Updates auch nach ihrer Manipulation ein gültiges Microsoft-Sicherheitszertifikat aufwiesen, kam Flame an allen Sicherheitsschranken vorbei. Solche Signaturen sind in der Regel kaum zu fälschen und werden sowohl von Windows als auch Antiviren-Programmen als unbedenklich eingestuft.
Microsoft entzieht Flame-Zertifikat
Microsoft entzog dem von Flame missbrauchten Zertifikat inzwischen die Gültigkeit und gab ein entsprechendes Windows-Update aus. Wer die automatische Update-Funktion in Windows nicht aktiviert hat, kann das Update auch bei Microsoft herunterladen und manuell installieren. Allerdings geht laut Sicherheitsexperten von dem Spionage-Virus nur eine sehr geringe Gefährdung für private Nutzer aus. Nach Aussage von Raiu werde Flames "Gadget"-Modul zudem nur in den Zeitzonen östlich derjenigen des Iran aktiv. Deutsche Nutzer wären demnach von den gefälschten Updates nicht betroffen.
Flame-Server in Deutschland
Weiterhin machten Kasperskys Sicherheitsforscher Fortschritte bei der Untersuchung des Botnetzes hinter Flame. Das Team entdeckte 15 Kontrollserver, die von den Flame-Betreibern genutzt wurden, um die Daten des Spionage-Virus einzusammeln. Laut Kaspersky verwaltete jede Kontrollrechner jeweils mindestens 50 gekaperte PC. Die Server standen angeblich in Deutschland, den Niederlanden, Großbritannien, der Schweiz und Hongkong. Auf den gekaperten Rechnern lief vorwiegend Windows 7 mit 32-Bit. Auf 45 Prozent der Zombie-Computer lief Windows XP. Die 64-Bit-Version von Windows 7 soll gegen Flame immun sein.
US-Regierung warnt vor Supervirus
Trotz des geringen Risikos für private Nutzer warnte die US-Regierung amerikanische Firmen vor Flame. Bisher wird zwar vermutet, dass die israelische oder amerikanische Regierung den Spionage-Virus zum Einsatz im Iran und Nordafrika entwickelte, ein Bumerangeffekt lasse sich aber nicht ausschließen. Demnach könnte der Supervirus auch auf Systeme überspringen, die nicht Ziel der Cyberattacke waren. Der Streueffekt eines Computer-Virus hängt laut Sicherheitsexperten von der Komplexität des Schadprogrammes ab. Im Falle von Flame sind sich die Fachleute jedoch uneinig.
Den Flame-Urhebern auf der Spur
Der hochentwickelte Computervirus-Flame wurde vergangenen Mai zuerst von Kasperksy entdeckt. Angeblich soll das Spionage-Programm schon seit 2010 aktiv sein und weist laut Kaspersky enge Verwandtschaft zu Stuxnet auf – eine hochentwickelte Cyberwaffe, die vor allem Atomanlagen im Iran stören sollte. Die Komplexität und Funktionalität von Flame "übertrifft die von allen anderen bislang bekannten Cyberschädlingen", meint Kaspersky. Seit der Entdeckung des neuen Supervirus versuchen sowohl die Sicherheitsforscher von Kaspersky als auch die UNO, den Code von Flame zu entschlüsseln. Bisher sind jedoch weder die Urheber von Flame noch von Stuxnet bekannt.
