Der Virus 'Flame' ist älter als bisher von den Virusforschern angenommen. Zudem ist ein Schadsoftware-Protokoll aufgetaucht, das noch nicht vollständig von den Hackern eingerichtet worden ist. Auf diese Erkenntnisse kommt die Analyse der sogenannten 'Command & Control'-Server (C&C-Server), von denen aus 'Flame' ferngesteuert wurde. Durchgeführt hat diese Untersuchung das russische Sicherheitsunternehmen Kaspersky Lab mit Symantec, der Cybersicherheitsabteilung der International Telecommunication Union (ITU), dem Computersicherheitszentrum CERT der Bundesverwaltung und dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Analyse ergibt, dass sich 'Flame' als Content-Management-System tarnt. Diese Systeme helfen normalerweise dabei, Inhalte von Internetseiten professionell zu erstellen und zu verwalten. Sie sind in der gängigen Skriptsprache PHP verfasst und erregen daher bei Web-Seiten-Hostern oder stichprobenartigen Untersuchungen wenig Verdacht. Nach den neuen Erkenntnissen sind virtualisierte Debian-Server im Einsatz, die ein besonders robustes 64-Bit-Linux-Betriebssystem zur Grundlage haben.

Einblick in den Umfang der gestohlenen Daten

Komplexe Verschlüsselungsmethoden sollen gewährleisten, dass nur die Angreifer auf die gewonnenen Daten Zugriff haben. Durch die Analyse der C&C-Server ist nun dennoch ein Einblick in den Umfang der gestohlenen Daten ans Tageslicht gekommen, wie Alexander Gostev, Chief Security Expert bei Kaspersky Lab mitteilt: "Ein Fehler der Angreifer half uns, auf einem der C&C-Server mehr Daten zu entdecken. Allein auf diesem Server wurden in einer Woche mehr als fünf Giga-Byte an Daten geladen, die von 5.000 infizierten Rechnern kamen. Dies zeigt, wie massiv hier Cyberspionage betrieben wurde."

Auf vier verschiedenen Kommunikationswegen ziehen die C&C-Server ihre Daten aus den infizierten Rechnern. Nur ein Kommunikationsprotokoll setzt hierzu 'Flame' ein. Laut Kaspersky existieren drei weitere Kommunikationsprotokolle, die nicht von Flame verwendet werden – "ein starkes Indiz dafür, dass wenigstens drei weitere Typen von Schadsoftware existieren", wie es in der offiziellen Presseverlautbarung von Kaspersky heißt. Deren Zweck liege jedoch derzeit noch im Dunkeln. Die Sicherheitsexperten gehen davon aus, dass von den unbekannten Schadsoftware-Typen derzeit einer im Netz aktiv ist.

'Flame' noch im Entwicklungsprozess

Auch muss davon ausgegangen werden, dass die Hacker weiter am Programm des Virus 'Flame' schreiben. Ein Protokoll mit dem Namen 'Red Protocol' ist noch nicht vollständig eingerichtet worden. Die letzte Änderung des Server-Codes ist datiert mit Mitte Mai 2012. Im Gegensatz zu der bisherigen Einschätzung gehen die Sicherheitsexperten jetzt davon aus, dass die Entwicklung von 'Flame' bereits im Dezember 2006 begonnen hat. Die Komplexität des Codes und nachgewiesene Verbindungen zu den Entwicklern von 'Stuxnet' deuten laut Kaspersky darauf hin, dass 'Flame' eine weitere Komponente einer Cyberwar-Strategie ist, die von staatlicher Seite betrieben wird.

Kaspersky führt auf seiner Internetseite Fragen und Antworten zur Spionage-Software 'Flame' auf.