miniFlame - Der kleine Bruder des Spionagetrojaners Flame
Weniger weit verbreitet, dafür äußerst präzise und auf wenige wichtige Ziele ausgerichtet: so analysiert Kaspersky Flames kleinen Bruder. Der Trojaner arbeitet gerne mit Befehlen wie "Elvis", "Barbara" oder "Tiffany".
Wie Kaspersky Lab in seinem Blog verkündet, hat sich die Familie um Flame, um einen kleineren, spezialisierteren Trojaner erweitert. Außerdem gibt es Hinweise auf einen dritten, bislang unbekannten Sprössling der Flame-Familie.
Die Entdeckung von miniFlame erfolgte während der laufenden Untersuchungen von Flame, Gauss und Duqu Anfang Juli 2012. Zunächst glaubte Kaspersky Lab eine frühe Version von Flame gefunden zu haben, bei der Analyse der genutzten Protokolle erwies sich diese Vermutung als falsch. miniFlame ist ein eingeständiger Spionage-Trojaner und stammt aus der gleichen Trojaner-Werkstatt wie Flame und Gauss. Er soll in den Jahren 2010-2011 parallel zu Flame und Gauss entwickelt worden sein.
Nach Kasperskys Analyse kommt miniFlame innerhalb der Flame-Familie eine besondere Rolle zu. Er funktioniert einerseits als eigenständiger Trojaner, kann andererseits auch als Plugin für Flame und Gauss genutzt werden. Das heißt: Flame oder Gauss können miniFlame nachladen, etwa um einen direkten Zugriff auf den infizierten Rechner zu ermöglichen.
Angriffswellen via Flame, Gauss und miniFlame laufen demnach vermutlich wie folgt ab: Zuerst werden viele mögliche Ziele mit Flame und Gauss infiziert. In Phase zwei werden die Daten der Opfer eingeholt. Mit Hilfe dieser Daten spezifizieren die Angreifer, welche Opfer sich als besonders lohnenswert erweisen könnten. Im letzten Schritt werden den so ausgewählten Opfern mit dem Spionagetrojaner miniFlame wichtige Daten geklaut.
Der spezialisierte Zugriff schlägt sich auch in den Zahlen nieder: Kaspersky registrierte Flame und Gauss auf etwa 10.000 Systemen im mittleren Osten, während miniFlame nur auf ein paar Dutzend Rechnern in West-Asien nachgewiesen wurde. Das bestätigt Kasperskys Einschätzung, dass miniFlame als "äußerst präzises Internet-Spionage-Werkzeug" genutzt wird.
Die Analyse ist derweil noch nicht beendet. Neben Flame, Gauss und dem nun identifizierten miniFlame vermuten die Experten einen weiteren Trojaner. So hat die Analyse des Kommando-Servers ergeben, dass dieser drei verschiedene Protokolle "spricht". Eines für die Kommunikation mit Flame, ein zweites für miniFlame und ein drittes, dessen Gegenstelle derzeit noch nicht gesichtet wurde. Kaspersky hat diesen "Higgs-Trojaner" vorerst "IP" getauft. Wie auch Flame, Gauss und miniFlame wird er der gleichen Trojaner-Werkstatt zugeordnet.
Kaspersky spricht im Kontext der neuen Erkenntnisse zu Flame und Co. davon, bisher "wahrscheinlich nur an der Oberfläche" der massiven Cyber-Spionage-Operationen im mittleren Osten "gekratzt" zu haben. Angestoßen hat die Analyse die internationale Fernmeldeunion (ITU) und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss an der Untersuchung beteiligt gewesen sein, zumindest legt das der Dank von Kaspersky Lab nahe. Wie genau das BSI an der Untersuchung beteiligt war, wollte es uns auf Anfrage aber nicht mitteilen. (kbe)
