Iran: “Flame” verursacht massive Datenverluste

Bernd Kling,

Der Cyber-Virus “Flame” hat bislang vor allem Ziele im Nahen Osten im Visier – jetzt werden von dort die ersten Schäden berichtet. Betroffen ist offenbar die iranische Ölindustrie.

Ein iranischer Experte für Cyber-Sicherheit räumte “massive” Datenverluste durch den Spionagevirus Flame ein. Kamran Napelian vom iranischen Computer Emergency Response Team Coordination Center (Maher) nannte den Schädling potenziell gefährlicher als den 2010 entdeckten Computerwurm Stuxnet, der erfolgreich iranische Atomanlagen sabotierte.

Auf seiner Website beschreibt Maher Flame als eine Malware-Plattform, die eine Reihe von Modulen für verschiedene Zwecke einsetzt und von gängigen Antivirusprogrammen bislang nicht erkannt wird. Sie kommt über Wechseldatenträger wie USB-Sticks in lokale Netzwerke und infiziert Systeme mit den Betriebssystemen Windows XP, Vista und 7. Anders als Stuxnet zielt Flame nicht auf Sabotage, sondern spioniert die Netzwerke äußerst effektiv aus. Es kann Dateien verschlüsselt an Kontrollserver übertragen, Screenshots anfertigen, und Audio-Übertragungen abhören. der Schädling hat inzwischen auch die Vereinten Nationen auf den Plan gerufen.

Flame hat sich vor allem in nahöstlichen Ländern und insbesondere im Iran verbreitet. Nach iranischen Angaben wurden zahlreiche Rechner hoher Regierungsmitarbeiter befallen. Der Spionageangriff habe speziell Irans Ölindustrie gegolten. Das Ministerium für Öl und Energie musste im letzten Monat alle Internetverbindungen kappen und Daten aus Sicherungsdateien wiederherstellen. “Der Virus hat einige Bereiche penetriert, darunter den Ölsektor”, erklärte Gholam Reza Jalali, der eine Militäreinheit gegen Sabotage leitet. Der Angriff sei jedoch erkannt worden und die Situation unter Kontrolle.

Maher-Mitarbeiter Kamran Napelian glaubt, die Herkunft von Flame anhand der eingesetzten Verschlüsselungstechniken bestimmen zu können. Sie wiesen auffällige Ähnlichkeiten zu früherer Malware aus Israel auf. “Seine Verschlüsselung hat ein besonderes Muster, das man nur aus Israel bekommt”, erklärte er in einem Interview mit der New York Times. “Flame ist kein gewöhnliches Produkt. Es wurde konzipiert, um ausgewählte Computer zu überwachen.”

Wie schon früher wollte Israel eine mögliche Beteiligung weder bestätigen noch dementieren. Eine Äußerung von Vizepremier Moshe Yaalon wurde jedoch vielfach als indirekter Hinweis aufgefasst: “Jeder, der die Bedrohung durch den Iran als eine erhebliche Bedrohung sieht – für den ist es vernünftig, ihm mit verschiedenen Maßnahmen, einschließlich diesen, zu schaden.”

Wie Maher berichtet, vermochte keine von 43 Antivirus-Lösungen Flame zu erkennen. Gegenüber TechWeekEurope bezeichnete Mikko Hypponen von F-Secure Flame als ein weiteres Beispiel für das Versagen der Sicherheitsfirmen. Er bezog sich dabei auf Berichte, nach denen mit Flame zusammenhängende Dateien schon vor Jahren aufgetaucht waren: “Wenn wir es zwei Jahre übersehen haben, vielleicht fünf Jahre, nicht nur wir, sondern die ganze verdammte Branche – wie könnte man das nicht als Versagen bezeichnen? Und es ist nicht das erste Mal. Wir haben Duqu längere Zeit nicht bemerkt, wir haben Stuxnet mindestens zwei Jahre übersehen.”

[mit Material von Tom Brewster, TechWeekEurope]