Kaspersky Lab hat Details über miniFlame bekanntgegeben, einem kleinen und sehr flexiblen, böswilligen Programm, das für den Einsatz bei sehr gezielten Cyberspionage-Operationen bestimmt ist. miniFlame, auch bekannt als SPE, wurde von Kaspersky Lab Experten im Juli 2012 entdeckt und ursprünglich als Flame-Modul eingestuft. Während einer intensiven Analyse der Struktur der Command & Control Server (C&C Server) von Flame im September 2012 stellte sich heraus, dass miniFlame auch als unabhängiges
Programm eingesetzt werden kann sowie als Plug-in für Flame und Gauss funktioniert.
“miniFlame ist eine hochpräzise Angriffswaffe. Höchstwahrscheinlich dient sie als zweite Welle einer Cyber-Attacke”, so Alexander Gostev, Chief Security Expert von Kaspersky Lab. “Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen. Die Entdeckung von miniFlame ist für uns auch eine weitere Bestätigung der Vermutung, dass die Entwickler der bekanntesten Cyberwaffen zusammenarbeiten: Stuxnet, Duqu, Flame und Gauss.”
Die Analyse von miniFlame hatte zum Ergebnis, dass die Malware in verschiedenen Versionen zwischen 2010 und 2011 entwickelt wurde. Davon sind noch einige Varianten im Netz aktiv.
Die wichtigsten Erkenntnisse zu miniFlame:
- miniFlame, auch bekannt als SPE (Codename in Flame), basiert auf der gleichen Architektur wie Flame. Es funktioniert als alleinstehendes Programm oder als Plug-in von Flame oder Gaus. Das Spionage-Werkzeug arbeitet als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systemespezialisiert ist.
- Die Entwicklung von miniFlame hat vermutlich Anfang 2007 begonnen und dauerte bis Ende 2011. Es wird angenommen, dass viele Varianten davon existieren. Bis dato hat Kaspersky Lab sechs dieser Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden.
- Im Unterschied zu Flame oder Gauss ist jedoch seine Infektionsrate wesentlich niedriger. Nach den Daten, die Kaspersky Lab vorliegen, dürften etwa zehn bis 20 Maschinen infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner dürfte bei 50 bis 60 Stück liegen.
- Aus der geringen Verbreitung sowie seinen flexiblen Eigenschaften zum Diebstahl von Daten schließen die Kaspersky Lab Experten, dass miniFlame für sehr gezielte Cyber-Spionage eingesetzt wurde, und vermutlich bei Rechnern zum Einsatz kam, die schon mit Gauss oder Flame infiziert waren.
- Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots eines infizierten Rechners während dieser spezielle Programme und Anwendungen wie Web Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client betreibt.
- miniFlame führt einen Upload der gestohlenen Daten durch, indem es sich mit C&C-Servern verbindet, die auch von Flame genutzt werden können. Durch die Anfrage des miniFlame C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und diese nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.
Weitere Details zu miniFlame finden sich auf dem Blog Securelist.com:
http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends.
Der vollständige Report ist unter diesem Link verfügbar:
http://www.securelist.com/en/analysis/204792247/miniFlame_aka_SPE_Elvis_and_his_friends.
(Quelle: Kasperky, Pressemeitteilung)