Als vor ein paar Wochen erstmals von der hochentwickelten Cyberwaffe Flame die Rede war, deutete das russische Sicherheitsunternehmen Kaspersky an, dass es trotz einiger oberflächlicher Ähnlichkeiten eine gäbe Es gab keinen Hinweis darauf, dass Flame viel mit Stuxnet gemeinsam hatte, einer Softwarewaffe, die speziell auf die Urananreicherungsbemühungen des Iran abzielte und dann in die USA entwischte wild. Nun sagt Kaspersky, es sei falsch gewesen: Die Firma behauptet, aufgedeckt zu haben Gemeinsamer Code, der darauf hinweist, dass die Entwickler von Flame und Stuxnet zumindest zusammengearbeitet haben – und vielleicht sind es sogar die gleichen Leute.
Flamme hat erregte große Aufmerksamkeit In Sicherheitskreisen wird es wegen seiner ausgefeilten Architektur geschätzt, die es Angreifern ermöglicht, auf ihre Interessen zugeschnittene Module in einem bestimmten System zu installieren. Verschiedene Module scheinen „normale“ Malware-Aufgaben wie das Durchsuchen von Benutzerdateien und das Protokollieren von Tastenanschlägen auszuführen; Es wurden auch Flame-Module gefunden, die offenbar Screenshots machen, Audiomikrofone zur Audioaufzeichnung einschalten und sogar Bluetooth-Geräte in der Nähe nach Kontakten und anderen Informationen abfragen.
Empfohlene Videos
Der Beweis? Als Stuxnet noch frei verfügbar war, erkannten die automatisierten Systeme von Kaspersky etwas, das wie eine Stuxnet-Variante aussah. Als die Mitarbeiter von Kaspersky es sich zum ersten Mal ansahen, konnten sie nicht wirklich verstehen, warum ihre Systeme dachten, es sei Stuxnet, es für einen Fehler hielten und es unter dem Namen neu klassifizierten „Tocy.a.“ Als Flame jedoch auftauchte, machte sich Kaspersky erneut auf die Suche nach Dingen, die Flame mit Stuxnet in Verbindung bringen könnten – und siehe da, da war die Tocy.a-Variante, die es nicht gab Sinn. Im Hinblick auf Flame macht Tocy.a laut Kaspsersky tatsächlich mehr Sinn: Es handelt sich um eine frühe Version eines Plug-Ins Modul für Flame, das (damals) einen Zero-Day-Privilege-Eskalations-Exploit implementiert Windows. Tocy.a gelangte bereits im Oktober 2010 in die Systeme von Kaspersky und enthält Code, der bis ins Jahr 2009 zurückverfolgt werden kann.
„Wir glauben, dass es tatsächlich möglich ist, von einer ‚Flame‘-Plattform zu sprechen, und dass dieses spezielle Modul auf der Grundlage seines Quellcodes erstellt wurde“, schrieb Alexander Gostev von Kaspersky.
Wenn Kasperskys Analyse korrekt ist, würde dies darauf hinweisen, dass die „Flame-Plattform“ bereits in Betrieb war, als das ursprüngliche Stuxnet Anfang bis Mitte 2009 erstellt und in Betrieb genommen wurde. Die ungefähre Datierung ist möglich, da der Proto-Flame-Code nur in der ersten Version des Stuxnet-Wurms vorkommt: Er verschwand aus zwei nachfolgenden Versionen von Stuxnet, die 2010 erschienen.
Kaspersky schließt daraus, dass die hochmodulare Flame-Plattform einen anderen Entwicklungspfad eingeschlagen hat als Stuxnet, was bedeutet, dass mindestens zwei Entwicklungsteams beteiligt waren. Das Vorhandensein dieser frühen Version eines Flame-Moduls scheint jedoch darauf hinzudeuten, dass die Stuxnet-Entwickler Zugriff darauf hatten Quellcode für einen echten Zero-Day-Windows-Exploit, der der breiteren Sicherheitsgemeinschaft (zu diesem Zeitpunkt) unbekannt war. Das bedeutet, dass die beiden Teams zumindest zeitweise ziemlich knapp waren.
Die New York Times hat berichtet dass Stuxnet von den Vereinigten Staaten und Israel als Cyberwaffe entwickelt wurde, um die Urananreicherungsaktivitäten Irans zu behindern. Seit der Entdeckung von Flame und seiner anschließenden Analyse durch Computersicherheitsfirmen haben die Entwickler von Flame dies getan hat offenbar einen „Selbstmord“-Befehl an einige Flame-infizierte Systeme gesendet, um Spuren davon zu entfernen Software.
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
