Flame-Virus: Neue Superwaffe für Cyberkrieg 2.0 entdeckt
Moskau/Berlin (dpa) - IT-Experten bezeichnen ihn als den machtvollsten Computer-Virus, den sie je gesehen haben: Das vom russischen Antivirus-Unternehmen Kaspersky Lab entdeckte Sabotageprogramm Flame spioniert seit über drei Jahren Computeranwender und Netzwerke im Iran, Nahen Osten und Nordafrika aus.
„Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen“, sagte Firmen-Chef Eugene Kaspersky am Dienstag.
Der Computerschädling, der für Windows-PCs entwickelt wurde, ist mit 20 Megabyte vergleichsweise groß. Er besteht aus 20 einzelnen Software-Modulen, die noch nicht alle im Detail analysiert wurden. Die Flame-Entwickler haben ihr Schadprogramm außerdem mit einer Nachlade-Option ausgestattet, so dass der Schädling ständig um weitere Funktionen ausgebaut werden kann.
Die russischen Virenjäger aus dem Kaspersky Lab waren eigentlich im Auftrag der Internationale Fernmeldeunion (ITU) auf der Suche nach einem Virus mit dem Namen Wiper, der in Asien verbreitet ist und auf PCs Daten löschen kann. Wiper haben sie nicht gefunden, stießen bei ihrer Suche aber auf den neuen Virus, den sie Flame tauften.
Eugene Kaspersky setzte Flame in eine Reihe mit den Sabotageprogrammen Stuxnet und Duqu. Der Computerwurm Stuxnet, der eine Steuerungsanlage von Siemens manipulieren kann, hatte offenbar vor allem das Ziel, Atomanlagen im Iran zu sabotieren. Duqu ist eine Stuxnet-Variante, die vor allem die Aufgabe hat, Industrieanlagen auszuspionieren. Anders als bei Stuxnet und Duqu sind aber bei Flame nicht nur Industriebetriebe betroffen, heißt es in einem Blogeintrag des Kaspersky-Forschers Alexander Gostev. Auch staatliche Institutionen und Bildungseinrichtungen seien betroffen.
Flame dient ebenfalls vor allem als Spionagewerkzeug: Nach der ersten Analyse von Kaspersky überwacht der Schädling den Datenverkehr im Netzwerk, nimmt Bildschirm-Fotos (Screenshots) auf und protokolliert Tastatur-Eingaben. Außerdem kann er ein vorhandenes Mikrofon einschalten und Gespräche als Audio-Datei aufnehmen und versenden.
Das Programm verbreitet sich Kaspersky zufolge über infizierte USB-Sticks, manipulierte E-Mails und Websites sowie über lokale Netzwerke (LAN). Flame wird durch externe Computer über das Internet gesteuert. Erste Infektionen konnten bis zum März 2010 zurückverfolgt werden.
Private PC-Anwender in Deutschland müssen sich nicht besonders vor Flame fürchten, da das Programm sehr auf die politische und wirtschaftliche Cyberspionage ausgerichtet ist. Mit bislang rund 600 entdeckten Infektionen wurde die Cyberwaffe außerdem vergleichsweise selten eingesetzt. Aus Westeuropa sind bislang keine Infektionen bekannt.
Die meisten Infektionen seien im Iran entdeckt worden (189 Fälle), danach folgen Israel/Palästina (98), der Sudan (32), Syrien (30) der Libanon (18) und Saudi-Arabien (10). Eugene Kaspersky sagte, die Flame-Schadsoftware sehe wie eine neue Phase im Cyberkrieg aus. „Es ist wichtig zu verstehen, dass diese Cyberwaffen einfach gegen jedes Land eingesetzt werden können. Und im Gegensatz zur konventionellen Kriegsführung sind vor allen die weiter entwickelten Länder am meisten anfällig.“
Wer genau hinter der Programmierung von Flame steckt, konnte Kaspersky nicht sagen. In Israel schürte Vize-Premierminister Mosche Jaalon Gerüchte, sein Land stehe hinter der Cyber-Attacke. In einem Interview des Armeerundfunks sagte Jaalon, Israel sei damit „gesegnet, eine Nation zu sein, die überlegene Technologie besitzt“. „Diese Errungenschaft eröffnet uns alle möglichen Optionen.“
Die Regierung im Iran reagierte auf die Berichte über Flame mit einer scharfen Attacke auf Israel. Der iranische Außenamtssprecher Ramin Mehmanparast sagte auf einer Pressekonferenz in Teheran, Flame sei „nichts Wichtiges“. „Es gibt nun mal illegitime Regime, die nur eines im Sinn haben: Verbreitung von Viren, um anderen Ländern zu schaden. Man sollte daher versuchen, nicht nur diese Viren, sondern auch die Ursache dieser Viren auszutrocknen.“
Die iranische Nachrichtenagentur Fars berichtete, dass viele Daten der iranischen Behörden von dem Flame Virus entweder gelöscht oder gestohlen wurden. Weitere Einzelheiten wurden nicht genannt. Das iranische Telekommunikationsministerium und seine IT-Abteilung Maher verkündeten am Dienstag, dass sie ein spezielles Programm entworfen haben, das die iranische Behörden gegen komplizierte Viren, wie auch Flame, schützen würde.