Am 9. Juni 2012 sendeten die Entwickler von Flame einen letzten Befehl über ihre Steuerserver: browse32.ocx soll die Schadsoftware deinstallieren, mit Zufallsdaten überschreiben und so nichts auf den infizierten Systemen zurücklassen, was wiederhergestellt werden könnte. Das nehmen wir zum Anlass, die Biografie des Wurms nachzuzeichnen.

Flame: ein kurzes Leben in der Öffentlichkeit

Am 27. Mai 2012 gibt das iranische MAHER CERT (Computer Emergency Response Team) bekannt, eine neue Schadsoftware entdeckt zu haben und nennt diese "Flamer". Tags darauf veröffentlicht Kaspersky im Firmenblog "Securelist" erste Informationen über Flame beziehungsweise Skywiper. Die Experten von Kaspersky Lab entdeckten die Schadsoftware, nachdem die International Telecommunication Union um Hilfe gebeten hatte. Die Unterorganisation der UN war auf der Suche nach einem Virus mit dem Codenamen Wiper, der im Nahen und Mittleren Osten sensible Daten löschte. Während die Experten von Kaspersky den Code analysierten, fanden sie den Virus mit dem Namen Worm.Win32.Flame. Die Experten erkannten zu diesem Zeitpunkt in Flame eine ähnliche Cyber-Waffe wie bei Stuxnet und Duqu; auch der Programmieraufwand ist ähnlich.

Am 28. Mai 2012 veröffentlicht Kaspersky erste Informationen zu Flame. Der Trojaner weist Funktionen eines Computer-Wurms auf und kann laut Kaspersky Einstellungen des befallenen Computers verändern, das Netzwerk auskundschaften und Daten sammeln. Flame kann außerdem das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots tätigen und auch als Keyboard Sniffer eingesetzt werden. Die gesammelten Daten können über einen Link zu einem Server abgerufen werden. Ebenso lassen sich darüber weitere Module der Schadsoftware hochladen und so den Funktionsumfang von Flame erweitern. Bis zu diesem Zeitpunkt wurden über 20 Module entdeckt. Wie er sich verbreitet, war noch nicht bekannt.

Schadsoftware verbreitet sich über Microsoft-Update

Am 3. Juni 2012 meldete Microsoft, dass Teile der Schadsoftware Flame mit Zertifikaten der Microsoft Root Authority gezeichnet waren. Damit wurde den angegriffenen Systemen suggeriert, die Schadsoftware käme direkt von Microsoft. Um ihren Code zu authentifizieren, nutzten die Flame-Entwickler einen Fehler im Terminal-Server-Licensing-Service, mit dem die Anwender Remote-Desktop-Services in ihrem Unternehmen autorisieren. Microsoft veröffentlichte eine Sicherheits-Anweisung, mit deren Hilfe die Anwender die mit diesen Zertifikaten gekennzeichnete Software blockieren können.

Am 6. Juni 2012 informierten die Experten von Kaspersky über ihren Blog Securelist, dass sich die Schadsoftware auch direkt über den Windows-Update-Service verbreitet.

Steuerserver nach Flame-Entdeckung sofort offline

Für das Hochladen weiterer Module griffen die Macher des Flame-Virus auf ein Botnetz mit mehr als 15 Servern und über 80 Domains zurück. Die Registrierungen für diese Domains konnten bis zum Jahr 2008 zurückverfolgt werden. Kaspersky zählte die IP-Adressen, die von den C&C-Domains in den letzten vier Jahren genutzten wurden, und kam dabei auf 22 unterschiedliche Server-IPs. Seit der Entdeckung von Flame konnten die Experten fünf dieser Steuerserver analysieren. Nachdem erstmals über Flame berichtet wurde, gingen alle Server offline.

Auf diesen Servern gingen auch die gesammelten Informationen ein. Die Entwickler waren vor allem an PDF-, Office- und AutoCAD-Dateien interessiert. Komprimiert wurden diese mithilfe von Open-Source-Programmen wie Zlib und modifizierter PPDM-Kompression.

Flame startet Selbstzerstörung

Anfang Juni schickten einige Steuerserver ein Update mit der Datei browse32.ocx an einige infizierte Computer. Der Befehl: Flame deinstallieren, mit Zufallsdaten überschreiben und so eine Wiederherstellung des Quellcodes verhindern. Das meldete Symantec am 9. Juni 2012. Laut den Spezialisten wurde dieses Modul ein paar Wochen vor Bekanntwerden der Schadsoftware am 9. Mai entwickelt. Auf jedem infiziertem Computer, der diese Datei erhält, wird Flame deinstalliert und verschwindet inklusiver der Datei browse32.ocx vollständig vom Computer. Interessant für die Experten ist allerdings die bloße Existenz dieser Datei: Frühe Analysen des Flame-Codes haben eine Komponente mit dem Namen "Suicide" ans Licht gebracht, deren Funktion gleich der von browse32.ocx ist. Unklar ist, warum die Entwickler diese funktion nicht genutzt haben.