Flame schlummert vor sich hin, und der Iran wird (schon wieder?) angegriffen
Was ist eigentlich aus Flame geworden? Erst tritt Kaspersky einen Medienhype los, obwohl zumindest anfangs kein Grund zu Panik bestand, dann kommt raus, dass Flame sich über eine 0-Day-Schwachstelle in Windows Update-Funktion verbreitet, und dann schläft das Interesse an Flame wohl auch schon ein. Und Flame selbst? Der begeht Selbstmord. Eigentlich sollte man doch erwarten, dass zu so einem "Monster-Schädling" laufend weitere Details ermittelt und veröffentlicht werden. Vor allem, weil ja immer noch nicht bekannt ist, wie die erste Infektion eines lokalen Netzes erfolgt. Immerhin wissen wir eins:
Israel und die USA haben Flame entwickelt
Laut Washington Post haben die USA und Israel Flame gemeinsam entwickelt. Ziel des Cyberangriffs: Irans Fähigkeiten zum Entwickeln einer Atombombe verlangsamen. Mit den von Flame gesammelten Informationen sollten weitere Cyberangriffe vorbereitet werden. Na, dann wissen wir ja jetzt, an wen die Antivirenhersteller etc. die Rechnungen für die Beseitigung von Flame schicken können.
Gut zu wissen. Oder auch nicht, denn wirklich bestätigt wurde die Urheberschaft ja nicht, und vermutet, dass die USA und/oder Israel dahinter stecken, hatten wir doch sowieso schon alle, oder? Wer sonst sollte ein Interesse an einem Cyberangriff auf den Iran haben? Viel interessanter fände ich die Antwort auf die Frage, wie Flame denn nun in die betroffenen lokalen Netze gelangt ist. Mal sehen, ob das noch raus kommt.
Der Iran wird schon wieder angegriffen
Der Iran meldet übrigens schon den nächsten Cyberangriff. Diesmal soll außer den USA und Israel auch Großbritannien beteiligt sein. Allerdings ist der Angriff diesmal nicht so weit gediehen wie Stuxnet, Duqu und Flame. Irans Intelligence Minister Heidar Moslehi wird mit den Worten "They still seek to carry out the plan, but we have taken necessary measures" zitiert. Laut Reuters ist nicht ganz klar, ob der Minister Flame oder einen neuen Angriff meint. Da der Iran Flame aber schon vor über einem Monat gemeldet hat, handelt es sich m.E. um einen neuen Angriff. Oder evtl. auch um einen neu entdeckten Angriff, der schon seit längerer Zeit läuft. Wir werden ja sehen, ob demnächst ein entsprechender neuer Schädling von Kaspersky CrySyS oder auch anderen Antivirenherstellern präsentiert wird.
Als wäre der Cyberwar nicht genug, gibt es jetzt auch noch eine
Industrie-Spionage mit AutoCAD-Wurm
ESET berichtet über einen Wurm, der in AutoLISP, der Scripting-Sprache von AutoCAD, geschrieben wurde. Der Wurm könnte auch als Trojaner eingestuft werden, da er sich zusammen mit harmlosen AutoCAD-Dateien verbreitet. Oder auch als Virus, da er die AutoCAD-Installation infiziert. Außer sich selbst zu verbreiten sendet der Wurm AutoCAD-Zeichnungen und E-Mail-Dateien per E-Mail an die Angreifer.
Der Wurm wurde vor zwei Monaten schlagartig vor allem in Peru gefunden, bei den weiteren, deutlich weniger betroffenen Ländern handelt es sich mit einer Ausnahme um Nachbarn von Peru oder Länder mit einem großen spanisch-sprechenden Bevölkerungsanteil. Die Ausnahme ist China, aber dazu gleich mehr.
ESET konnte die Infektionen zu bestimmten URLs zurück verfolgen. Man geht davon aus, dass ein Template auf einer Website infiziert wurde, das benötigt wird, wenn jemand Geschäfte mit dem Betreiber der Website machen will. Das klingt alles etwas nebulös, aber ich vermute, wenn ESET hier ein paar Details mehr verraten würde, könnte man den Betreiber der Website ermitteln. All zu viele potentielle Betreiber dürfte es in Peru nicht geben.
Die gesammelten AutoCAD-Zeichnungen und E-Mail-Dateien werden an eine E-Mail-Adresse in China gesendet. Zum Senden der E-Mails nutzt der Wurm weitere insgesamt 43 E-Mail-Adressen auf zwei Mailservern in China, deren Zugangsdaten im Wurm enthalten sind. Die Inbox dieser Mailkonten ist mit Fehlermeldungen gefüllt, da die Zieladresse wegen Überfüllung keine Mails mehr annimmt. Alle vom Wurm genutzten E-Mail-Konten wurden inzwischen aus dem Verkehr gezogen, der Wurm kann also keine Daten mehr an den Angreifer schicken.
Rick Wanner vom Internet Storm Center hält zwei Erklärungen für den Wurm für möglich: Entweder es handelt sich um einen limitierten Test, um die Funktionsfähigkeit eines AutoCAD-Wurms zu prüfen, oder es handelt sich um einen gezielten Angriff. Warum eigentlich nicht um beides? Es bietet sich doch an, das neue Konzept gleich bei einem richtigen Angriff zu testen. Werden danach Sicherheitsmaßnahmen ergriffen, die weitere Angriffe verhindern oder erschweren, hat der Angreifer zumindest schon mal ein Ziel erfolgreich abgegrast.
Es kommen interessante Zeiten auf uns zu
In Zukunft wird man bei Schadsoftware außer mit Cyberkriminellen auch mit Cyberkriegern und Cyberspionen rechnen müssen. Um was es sich handelt, erkennt man dann wohl an den Reaktionen darauf: Cyberkrieger schreien "Hier, wir waren das!", bei Cyberspionen schreien die Opfer "Da, die waren das!", und bei den Cyberkriminellen bleiben alle still und leise. Fehlen eigentlich nur noch Cyber-Trittbrettfahrer, die bei einem neuen Schädling schreien "Das waren wir von Haste-nie-gehört!". Entzückend!
Trackbacks
Dipl.-Inform. Carsten Eilers am : Kommentare zu Flame, einem neuen Wurm, einem auf Java spezialisierten Exploit-Kit und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr
Vorschau anzeigen