Dipl.-Inform. Carsten Eilers

Im folgenden werde ich mich nach den "Questions and Answers" von Kaspersky richten, da die den Ball ins rollen gebracht haben. Zuvor hatte bereits das iranische CERT MAHER über den Schädling berichtet, aber keine Details veröffentlicht. Eine weitere Analyse (PDF) gibt es vom Laboratory of Cryptography and System Security (CrySyS) der Budapest University of Technology and Economics (das übrigens auch bei der Entdeckung von Duqu eine Rolle spielte).

... ein trojanischer Wurm

Aber fangen wir mal an. Was ist Flame eigentlich? Dazu Kaspersky:

"Flame is a sophisticated attack toolkit, which is a lot more complex than Duqu. It is a backdoor, a Trojan, and it has worm-like features, allowing it to replicate in a local network and on removable media if it is commanded so by its master."

Ein Trojaner, der im lokalen Netz zum Wurm wird, ist nun wirklich nichts Neues mehr. Z.B. nutzte 2008 ein von Treatexperts als "Netzwerkfähiger Trojaner" bezeichneter Wurm die auch von Conficker ausgenutzte RPC-Schwachstelle in Windows aus: Nachdem der Trojaner einen Rechner infiziert hatte, nutzte er die RPC-Schwachstelle zur weiteren Verbreitung im lokalen Netz.

... ein Datensammler

Nach der Infektion eines Systems (wie Flame das macht, ist noch nicht bekannt, laut Kaspersky, Trend Micro und MAHER verbreitet er sich ganz altmodisch über mobile Massenspeicher - Oh weh, ein USB-Stick-Wurm!) legt der Schädling los: Sniffen des Netzwerktraffics, Anfertigen von Screenshots, Aufnehmen mit dem Mikrofon, Protokollieren von Tastendrücken, usw.. Die Aktionen können von einen Command&Control-Server aus gesteuert werden. Es gibt über 20 Module, und der Zweck der meisten ist noch nicht bekannt.

Auch das ist nichts wirklich Besonderes: Schadcode, der sich erweitern lässt, ist ebensowenig neu wie Daten sammelnde Schädlinge. Die Nutzung des Mikrofons war Bestandteil des deutschen Staatstrojaners. Ob es schon Windows-Schädlinge gab, die das Mikrofon zum Belauschen von Gesprächen im Raum nutzen, weiß ich jetzt nicht, aber einen Missbrauch der Webcam gab es schon öfter. In sofern: Im Mittleren Osten nichts Neues.

... ein komplexer Riese

Nächster Punkt: Die Größe von Flame. 20 MB sind für einen Schädling beachtlich, klein und unauffällig sieht anders aus. Andererseits: Bei der heutigen Größe von Festplatten sind 20 MB schon wieder nicht der Rede wert. Stellen wir einfach mal fest, dass die Flame-Entwickler entweder keine Lust zur oder keine Ahnung von Optimierung hatten. Außerdem könnte die Größe sich auch ganz einfach aus der Menge an Modulen ergeben, und wenn dann noch ohne Rüchsickt auf die Größe ein paar Open-Source-Bibliotheken verwendet wurden (man muss das Rad ja nicht mehrmals erfinden), kommen da schon einige MB zusammen.

Die Nutzung von Lua ist ungewöhnlich, jedenfalls für Schadsoftware. Ansonsten verweise ich mal auf Fefe.

Dann ist der Schädling sehr komplex aufgebaut und besteht aus mehreren DLLs, aber was soll's: Dann ist Flame eben der zur Zeit komplexeste bisher entdeckte Schädling. Welcher war es denn zuvor? Vielleicht Stuxnet mit seinen vier ausgenutzten 0-Day-Schachstellen? Früher oder später wird ein noch komplexerer Schädling kommen - und das ganz ohne dass darüber die Welt untergeht. Genau so wenig, wie sie über den vorigen komplexesten Schädling aller Zeiten untergegangen ist. Oder habe ich da etwas verpasst?

... alt

Wann Flame entwickelt und erstmals eingesetzt wurde, können wir getrost ausklammern, da die Entwickler anscheinend teilweise die Compiler-Daten geändert haben. Es ist auch (zumindest zur Zeit) nicht weiter interessant und sogar im Interesse von Kaspersky und Co., wenn wir darüber den Mantel des Schweigens breiten. Denn sonst müsste man ja auch mal darüber reden, wieso die tollen Virenscanner denn diesen Riesen-Schädling übersehen haben, richtig? Und wieso Kaspersky jetzt auffällt, dass man Flame ja schon im März 2010 bemerkt hat. Und wo blieb das Alarmgeschrei? Die Begründung in Kasperskys Text ist doch wohl ein Witz, oder?

"The large size of the malware is precisely why it wasn’t discovered for so long. In general, today’s malware is small and focused. It’s easier to hide a small file than a larger module. Additionally, over unreliable networks, downloading 100K has a much higher chance of being successful than downloading 6MB."

Virenscanner, zumindest von Kaspersky, erkennen Viren nicht, wenn sie nur gross genug sind? Also dazu fällt mir nichts mehr ein. Jedenfalls nichts, was ich öffentlich schreiben würde, dazu bin ich zu gut erzogen.

... kaum verbreitet

Als bisher gibt es an Flame, abgesehen von seiner Größe und Komplexität, nichts wirklich Besonderes, erst recht nichts Besorgnis erregendes, verglichen mit anderen Schädlingen. Wie sieht es denn mit der Verbreitung aus? Die ist, mit Verlaub, lächerlich gering: Ein paar Hundert infizierte Rechner (wenn man nach der Grafik in Kasperskys Text geht) oder einige Tausend (wenn man nach dem Text selbst geht) - was ist das, verglichen mit anderen Schädlingen? 600.000 oder mehr mit Flashback infizierte Macs, über 2 Millionen heute noch mit Conficker infizierte PCs, ein Physiker würde Flame als Messfehler einstufen und unter den Tisch fallen lassen.

... keine 0-Day-Bedrohung

Gibt es sonst noch irgend was, was an Flame beängstigend wäre? Werden evtl. 0-Day-Schwachstellen ausgenutzt? Bisher ist nichts derartiges bekannt, ganz im Gegenteil: Laut Websense werden zwei 2010 von Microsoft gepatchte Schwachstellen ausgenutzt (die zufällig oder auch nicht auch von Stuxnet und Duqu ausgenutzt wurden).

... ungezielt

Und dann wäre da noch das Ziel. Laut Kaspersky gibt es kein spezielles Ziel:

"We have not seen any specific signs indicating a particular target such as the energy industry - making us believe it’s a complete attack toolkit designed for general cyber-espionage purposes."

Ein Schädling, der alles an Daten sammelt, was sich sammeln lässt - was sollte das sonst sein, wenn nicht ein Cyber-Spionage-Tool? Die Frage ist nur, wer da spioniert. Sofern nicht noch spezielle Ziele identifiziert werden, scheinen die Angreifer nach dem Zufallsprinzip vorgegangen zu sein - den Schädling einfach verteilen und gucken, was kommt, das klingt eher nach Cyberkriminellen als nach einer staatlichen Organisation, oder? Vor allem, da es anscheinend keine Organisation dabei gibt, das klingt sehr unorganisiert. Oder laut Kaspersky:

"There doesn’t seem to be any visible pattern re the kind of organizations targeted by Flame. Victims range from individuals to certain state-related organizations or educational institutions"

Aber zum Urheber komme ich noch, erst mal kommt ein

Fazit

Flame ist groß und komplex, das war es aber auch schon. Er ist weder eine besondere Bedrohung für die Allgemeinheit noch droht er, als Kollateralschaden massenweise Netze lahm zu legen oder sonstwie Schaden an zu richten. Ein riesiger Datensammler mit geringer Verbreitung - da würde ich mir als normaler Benutzer mehr Sorgen um Zeus und Co. oder den DNS-Changer machen. Es besteht garantiert kein Grund zur Panik!

Aber die UN warnt doch vor Flame!1!!11!

Erst mal warnt nicht "die UN", sondern eine UN-Organisation. Und zwar die International Telecommunications Union ITU, die zwar, wie der Name schon sagt, fürs Fernmeldewesen, aber nicht fürs Internet zuständig ist. Für die Cybersicherheit schon mal gar nicht. Das wäre sie aber gerne. Unterstützt wird sie dabei u.a. von Russland. Und jetzt findet die ITU zufällig einen Schädling (wo eigentlich?) und gibt den an Kaspersky zur Analyse. Und die machen sofort einen auf Panik. Kaspersky, dessen Gründer Eugene Kaspersky schon seit 2007 eine Internet-Polizei fordert, dann einen Internet-Führerschein nachlegte und 2009 um einen Ausweis erhöhte. Jetzt will er wohl Resultate sehen?

Also für mich ist das nur Panikmache, und zwar ziemlich durchsichtige.

Kommen wir zur letzten Frage, über deren Antwort sich aber auch nur spekulieren lässt:

Wer steckt hinter Flame?

Dazu Kaspersky:

"Currently there are three known classes of players who develop malware and spyware: hacktivists, cybercriminals and nation states. Flame is not designed to steal money from bank accounts. It is also different from rather simple hack tools and malware used by the hacktivists. So by excluding cybercriminals and hacktivists, we come to conclusion that it most likely belongs to the third group. In addition, the geography of the targets (certain states are in the Middle East) and also the complexity of the threat leaves no doubt about it being a nation state that sponsored the research that went into it."

Also: Wenn ein Schädling kein Geld von Bankkonten stiehlt, stammt er nach Kasperskys Ansicht nicht von Cyberkriminellen? Interessant. Was ist mit Scareware? Oder Ransomware? Oder Botnets, z.B. zum Spamversand? Ist das alles keine Cyberkriminalität, da ja kein Geld von Bankkonten gestohlen wird? Was ist es dann? Und als "hacktivists" gelten wohl nur Skriptkiddies?

Aber OK, gehen wir mal davon aus, dass da ein Staat dahinter steckt. Sehr groß, sehr komplex, sowas bringen nur Behörden zu Stande. Fragt sich nur, welche das sein könnten, wenn der Iran und Israel auf der Liste stehen. Interessant sind die Ort der Erstinfektion laut McAfee: Drei Punkte im Mittleren Osten, das passt zu den Kaspersky-Zahlen - aber die zwei Punkte in den USA passen irgendwie nicht ins Bild. Und wenn man die Infektionen laut Symantec dazu nimmt, wird es noch merkwürdiger, denn demnach gibt es einen Großteil der Infektionen in Russland (hat Kaspersky die unter den Tisch fallen lassen?) und die meisten in Ungarn (oder welcher Staat ist das, die Karte ist so unpraktisch klein?). Wer bleibt dann als Urheber übrig? Die Raterei überlasse ich anderen, ich warte erst mal ab, ob noch mehr Informationen, z.B. über das erste Ziel, bekannt werden.

Nachdem heute der angekündigte Text mit weiteren Informationen zu Advanced Persistent Threats aus aktuellem Anlass ausgefallen ist, ereilt ihn das gleiche Schicksal in der nächsten Woche noch einmal. Denn dann gibt es die Materialien und weiterführende Informationen zu meinen Vorträgen auf der International PHP Conference 2012, Spring Edition .

Carsten Eilers