Dipl.-Inform. Carsten Eilers

Bei der Analyse der Command&Control-Server von Flame hatte man festgestellt, dass die Server vier verschiedene Clients steuern können, genannt SP, SPE, FL und IP.

Während Flame selbst als "FL" identifiziert wurde, konnte die Existenz von "SPE" anhand von Zugriffen dieses Schädlings auf übernommene C&C-Domains (Sinkhole) nachgewiesen werden. Zugriffe von "SP"- und "IP"-Schadsoftware wurde nicht registriert. Nun wurde "SPE" als neuer Schädling mit dem Namen miniFlame identifiziert.

miniFlame - ein RAT wie viele andere

miniFlame ist eine normale Spyware und Backdoor bzw. ein Remote Administration Toolkit (RAT) und kann sowohl einzeln als auch gemeinsam mit Flame oder Gauss eingesetzt werden. Wie üblich, ist mal wieder nicht bekannt, wie miniFlame auf die infizierten Rechner gelangt ist. Auf die Lösung dieses Rätsels warten wir ja auch bei Flame und Gauss noch.

Nachgeladen von Flame und Gauss?

Bei Kaspersky vermutet man, dass miniFlame in vielen Fällen von Flame oder Gauss nachgeladen wurde, da die betroffenen Rechner auch mit diesen Schädlingen infiziert sind. Im Fall von Flame wäre miniFlame dann nur ein weiteres der vielen sowieso vorhandenen Plugins. Allerdings eins, das nicht in den bekannten Flame-Konfigurationen enthalten ist und vom Uninstaller nicht gelöscht wird. Was sogar zweckmäßig ist, wenn man davon ausgeht, dass die Angreifer nach der Identifikation eines besonders interessanten Ziels die vorhandene Flame-Installation durch den unauffälligeren miniFlame ersetzen wollen.

Ein seltener Schädling

Die Verbreitung von miniFlame ist minimal - insgesamt 15 von Kaspersky gezählte Infektionen (10 im Libanon, 3 in Palästina, je 1 in Katar und Kuwait) wurden auf 50 bis 60 Infektionen insgesamt hochgerechnet - das ist eigentlich nicht der Rede wert. Ausgehend von den Daten der übernommenen C&C-Domains befinden sich die meisten Infektionen im Libanon und im Iran.

Und wer hat ihn gefunden? Kaspersky!

miniFlame ist übrigens mal wieder ein mehr oder weniger reiner Kaspersky-Fund. Von den anderen AV-Herstellern ist der Schädling bisher nicht weiter beachtet worden. Trend Micro weist lediglich darauf hin, dass es sich um ein normales RAT handelt, dass kaum jemand jemals "in the wild" zu Gesicht bekommen wird, und Symantec meldet lediglich einen neuen Schädling, der das bei der Untersuchung von Flames C&C-Servern entdeckte Protokoll nutzt. Genannt wird er dort übrigens einfach W32.Flamer.B, und der entsprechende Schädling wurde von Kaspersky bereit gestellt.

Irgendwie ist es ja schon auffällig, dass diese "Cyberwar-Schädlinge" immer alle von Kaspersky gefunden und/oder analysiert werden, oder? Selbst wenn sich die US-amerikanischen AV-Hersteller in der Hinsicht zurück halten und vielleicht auch gar keine Produkte in den Iran oder Libanon verkaufen (dürfen?), drängt sich doch die Frage auf, warum keine anderen Sicherheitsunternehmen mal auf entsprechende Schädlinge stoßen.

Kein Grund zu Panik oder auch nur Aufregung

Fest steht jedenfalls, dass kein Grund zur Panik besteht. Nicht mal besonders aufregend ist das alles. Es gibt ein neues RAT. Das aber nur im Rahmen gezielter Angriffe im Rahmen des Cyberwar gegen den Iran eingesetzt wird. Das dürften wirklich die wenigsten von uns jemals auf ihrem Rechner finden. Sofern nicht noch eine 0-Day-Schwachstelle ausgenutzt wird (wie es bei miniFlames Vorgängern ja der Fall war), ist das Flämmchen wirklich nicht der Rede wert.

Viel interessanter wäre es meiner Ansicht nach, wenn wir wüssten, wie Flame und Gauss (und auch miniFlame) eingeschleust werden. Es ist ja schon auffällig, dass immer nur Infektionen mit den Schädlingen entdeckt werden, ohne dass es einen Hinweis darauf gibt, wie diese Infektionen zu Stande kommen. Da scheint jemand großen Wert auf Geheimhaltung zu legen und sämtliche Spuren zu verwischen. Und das macht man ja nicht ohne Grund. Ob da etwa eine 0-Day-Schwachstelle im Spiel ist?

Carsten Eilers