Flamme (Malware) - Flame (malware)
Flame , auch bekannt als Flamer , sKyWIper und Skywiper , ist eine modulare Computer- Malware , die 2012 entdeckt wurde und Computer angreift, auf denen das Microsoft Windows- Betriebssystem ausgeführt wird. Das Programm wird zur gezielten Cyberspionage in Ländern des Nahen Ostens eingesetzt .
Seine Entdeckung wurde am 28. Mai 2012 vom MAHER Center of Iranian National Computer Emergency Response Team (CERT), Kaspersky Lab und CrySyS Lab der Budapest University of Technology and Economics bekannt gegeben . Der letzte von ihnen stellte in seinem Bericht fest, dass Flame „sicherlich die ausgefeilteste Malware ist, auf die wir während unserer Praxis gestoßen sind; es ist wohl die komplexeste Malware, die jemals gefunden wurde“. Flamme kann sich über ein lokales Netzwerk (LAN) auf andere Systeme ausbreiten . Es kann Audio, Screenshots , Tastaturaktivitäten und Netzwerkverkehr aufzeichnen . Das Programm zeichnet auch Skype- Gespräche auf und kann infizierte Computer in Bluetooth- Beacons verwandeln, die versuchen, Kontaktinformationen von nahegelegenen Bluetooth-fähigen Geräten herunterzuladen. Diese Daten werden zusammen mit lokal gespeicherten Dokumenten an einen von mehreren Command and Control Servern gesendet, die über die ganze Welt verstreut sind. Das Programm wartet dann auf weitere Anweisungen von diesen Servern.
Nach Schätzungen von Kaspersky im Mai 2012 hatte Flame zunächst rund 1.000 Maschinen infiziert, darunter Regierungsorganisationen, Bildungseinrichtungen und Privatpersonen. Zu dieser Zeit ereigneten sich 65 % der Infektionen im Iran, Israel, Palästina, Sudan, Syrien, Libanon, Saudi-Arabien und Ägypten, mit einer „riesigen Mehrheit der Ziele“ im Iran. Flammen wurden auch in Europa und Nordamerika gemeldet. Flame unterstützt einen "Kill"-Befehl, der alle Spuren der Malware vom Computer löscht. Die anfänglichen Infektionen von Flame hörten nach seiner öffentlichen Aufdeckung auf zu funktionieren, und der Befehl "töten" wurde gesendet.
Flame ist mit der Equation Group von Kaspersky Lab verbunden. Costin Raiu, der Direktor des globalen Forschungs- und Analyseteams von Kaspersky Lab, glaubt jedoch, dass die Gruppe mit den Machern von Flame und Stuxnet nur aus einer Position der Überlegenheit zusammenarbeitet: "Equation Group sind definitiv die Meister, und sie geben den anderen vielleicht" , Semmelbrösel. Von Zeit zu Zeit geben sie ihnen ein paar Leckereien, die sie in Stuxnet und Flame integrieren können."
2019 gaben die Forscher Juan Andres Guerrero-Saade und Silas Cutler ihre Entdeckung des Wiederauflebens der Flamme bekannt. Die Angreifer benutzten „Timestomping“, um die neuen Samples so aussehen zu lassen, als wären sie vor dem „Selbstmord“-Befehl erstellt worden. Ein Kompilierungsfehler enthielt jedoch das tatsächliche Kompilierungsdatum (ca. 2014). Die neue Version (von den Forschern "Flame 2.0" genannt) enthält neue Verschlüsselungs- und Verschleierungsmechanismen, um ihre Funktionalität zu verbergen.
Geschichte
Flame (auch bekannt als Da Flame) wurde im Mai 2012 vom MAHER Center of Iranian National CERT, Kaspersky Lab und CrySyS Lab (Laboratory of Cryptography and System Security) der Budapest University of Technology and Economics identifiziert, als Kaspersky Lab von den Vereinten Nationen International befragt wurde Telecommunication Union , um Berichte über einen Virus zu untersuchen, der Computer des iranischen Ölministeriums befällt . Bei der Untersuchung von Kaspersky Lab entdeckten sie einen MD5- Hash und einen Dateinamen, der nur auf Kundencomputern aus Ländern des Nahen Ostens auftauchte. Nachdem die Forscher weitere Teile entdeckt hatten, nannten sie das Programm "Flame" nach einem der Hauptmodule im Toolkit [FROG.DefaultAttacks.A-InstallFlame] .
Laut Kaspersky operiert Flame mindestens seit Februar 2010 in freier Wildbahn. CrySyS Lab berichtete, dass der Dateiname der Hauptkomponente bereits im Dezember 2007 beobachtet wurde. Das Erstellungsdatum konnte jedoch nicht direkt ermittelt werden, da die Erstellung Daten für die Module der Malware sind fälschlicherweise bereits 1994 auf Daten gesetzt.
Computerexperten sehen darin die Ursache für einen Angriff im April 2012, bei dem iranische Beamte ihre Ölterminals vom Internet trennten. Damals bezeichnete die iranische Studenten-Nachrichtenagentur die Malware, die den Angriff verursachte, als "Wiper", ein Name, den ihr der Schöpfer der Malware gegeben hatte. Kaspersky Lab geht jedoch davon aus, dass Flame „eine völlig getrennte Infektion“ von der Wiper-Malware ist. Aufgrund der Größe und Komplexität des Programms – beschrieben als „zwanzigmal“ komplizierter als Stuxnet – gab das Labor an, dass eine vollständige Analyse bis zu zehn Jahre dauern könnte.
Am 28. Mai gab das iranische CERT bekannt, dass es ein Erkennungsprogramm und ein Entfernungstool für Flame entwickelt und diese seit mehreren Wochen an "ausgewählte Organisationen" verteilt hat. Nach der Enthüllung von Flame in den Medien berichtete Symantec am 8. Juni, dass einige Flame-Command-and-Control-Computer (C&C) einen „Selbstmord“-Befehl an infizierte PCs gesendet hätten, um alle Spuren von Flame zu entfernen.
Nach Schätzungen von Kaspersky im Mai 2012 hatte Flame zunächst etwa 1.000 Maschinen infiziert, darunter Regierungsorganisationen, Bildungseinrichtungen und Privatpersonen. Am stärksten betroffen waren damals der Iran, Israel, die Palästinensischen Gebiete, der Sudan, Syrien, der Libanon, Saudi-Arabien und Ägypten. Ein Beispiel der Flame-Malware ist auf GitHub verfügbar
Operation
| Name | Beschreibung |
|---|---|
| Flamme | Module, die Angriffsfunktionen ausführen |
| Boost | Module zur Informationssammlung |
| Flasche | Eine Art Angriffsmodul |
| Jimmy | Eine Art Angriffsmodul |
| Munch | Installations- und Ausbreitungsmodule |
| Snack | Lokale Ausbreitungsmodule |
| Spotter | Scanmodule |
| Transport | Replikationsmodule |
| Euphorie | Dateilecks Module |
| Kopfschmerzen | Angriffsparameter oder -eigenschaften |
Flame ist mit 20 Megabyte ein ungewöhnlich großes Programm für Malware . Es ist teilweise in der Skriptsprache Lua mit eingebundenem kompiliertem C++- Code geschrieben und ermöglicht das Laden anderer Angriffsmodule nach der Erstinfektion. Die Malware verwendet fünf verschiedene Verschlüsselungsmethoden und eine SQLite- Datenbank, um strukturierte Informationen zu speichern. Die zum Einschleusen von Code in verschiedene Prozesse verwendete Methode ist heimlich, da die Malware-Module nicht in einer Liste der in einen Prozess geladenen Module erscheinen und Malware- Speicherseiten mit READ-, WRITE- und EXECUTE- Berechtigungen geschützt sind , die sie für Benutzer unzugänglich machen. Modus Anwendungen. Der interne Code weist nur wenige Ähnlichkeiten mit anderer Malware auf, nutzt aber zwei der gleichen Sicherheitslücken aus, die Stuxnet zuvor verwendet hat, um Systeme zu infizieren. Die Malware bestimmt, welche Antivirensoftware installiert ist, und passt dann ihr eigenes Verhalten an (z. B. durch Ändern der von ihr verwendeten Dateinamenerweiterungen ), um die Wahrscheinlichkeit einer Erkennung durch diese Software zu verringern. Weitere Anzeichen für eine Kompromittierung sind Mutex- und Registrierungsaktivitäten , wie die Installation eines gefälschten Audiotreibers , den die Malware verwendet, um die Persistenz auf dem kompromittierten System aufrechtzuerhalten.
Flame ist nicht für eine automatische Deaktivierung ausgelegt, unterstützt jedoch eine "Kill"-Funktion, die es ermöglicht, alle Spuren seiner Dateien und seines Betriebs von einem System zu entfernen, wenn ein Modul von seinen Controllern empfangen wird.
Flame wurde mit einem betrügerischen Zertifikat signiert , das angeblich von der Microsoft Enforced Licensing Intermediate PCA-Zertifizierungsstelle stammt. Die Malware-Autoren identifizierten ein Microsoft Terminal Server Licensing Service-Zertifikat, das versehentlich für die Codesignatur aktiviert wurde und immer noch den schwachen MD5- Hashing-Algorithmus verwendet , und erstellten dann eine gefälschte Kopie des Zertifikats, mit dem sie einige Komponenten der Malware signierten , um sie sichtbar zu machen von Microsoft stammen. Ein erfolgreicher Kollisionsangriff gegen ein Zertifikat wurde bereits 2008 demonstriert, aber Flame implementierte eine neue Variante des Kollisionsangriffs mit gewähltem Präfix.
| Eigentum | Wert |
|---|---|
| Kompromittiertes Microsoft-Zertifikat mit schwachem MD5- Algorithmus und unbeabsichtigte Codesignatur-Nutzung | |
| Ausführung | V3 |
| Ordnungsnummer | 3a ab 11 de e5 2f 1b 19 d0 56 |
| Signaturalgorithmus | md5RSA |
| Signatur- Hash-Algorithmus | md5 |
| Aussteller | CN = Microsoft Root Authority,OU = Microsoft Corporation,OU = Copyright (c) 1997 Microsoft Corp. |
| Gültig ab | Donnerstag, 10. Dezember 2009 11:55:35 |
| Gültig bis | Sonntag, 23. Oktober 2016 18:00:00 |
| Gegenstand | CN = Microsoft Enforced Licensing Intermediate PCA, OU = Copyright (c) 1999 Microsoft Corp., O = Microsoft Corporation, L = Redmond, S = Washington, C = US |
| Öffentlicher Schlüssel |
30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01
|
| Schlüsselnutzung verbessern |
Code Signing (1.3.6.1.5.5.7.3.3) Key Pack-Lizenzen (1.3.6.1.4.1.311.10.6.1) Lizenzserver- Verifizierung (1.3.6.1.4.1.311.10.6.2) |
| Behördenkennung | Zertifikatsaussteller: CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp.| Zertifikat Seriennummer=00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40 |
| Betreffschlüsselkennung |
6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43
|
| Schlüsselverwendung |
Zertifikatssignierung mit digitaler Signatur Offline -CRL-Signierung CRL-Signierung (86) |
| Grundlegende Einschränkungen | Betrefftyp= Beschränkung der CA- Pfadlänge=Keine |
| Fingerabdruck-Algorithmus | sha1 |
| Daumenabdruck |
2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70
|
Einsatz
Sie wird wie die bisher bekannten Cyberwaffen Stuxnet und Duqu gezielt eingesetzt und kann sich durch Rootkit- Funktionalität aktueller Sicherheitssoftware entziehen . Sobald ein System infiziert ist, kann sich Flame über ein lokales Netzwerk oder über einen USB-Stick auf andere Systeme ausbreiten. Es kann Audio, Screenshots, Tastaturaktivitäten und Netzwerkverkehr aufzeichnen . Das Programm zeichnet auch Skype-Gespräche auf und kann infizierte Computer in Bluetooth-Beacons verwandeln, die versuchen, Kontaktinformationen von Bluetooth-fähigen Geräten in der Nähe herunterzuladen. Diese Daten werden zusammen mit lokal gespeicherten Dokumenten an einen von mehreren Command and Control Servern gesendet, die über die ganze Welt verstreut sind. Das Programm wartet dann auf weitere Anweisungen von diesen Servern.
Im Gegensatz zu Stuxnet, das darauf ausgelegt war, einen industriellen Prozess zu sabotieren , scheint Flame nur für Spionage geschrieben worden zu sein . Es scheint nicht auf eine bestimmte Branche abzuzielen, sondern ist "ein komplettes Angriffs-Toolkit, das für allgemeine Cyber-Spionagezwecke entwickelt wurde".
Mit einer als Sinkholing bekannten Technik demonstrierte Kaspersky, dass sich "eine große Mehrheit der Ziele" im Iran befand, wobei die Angreifer insbesondere nach AutoCAD- Zeichnungen, PDFs und Textdateien suchten . Computerexperten sagten, dass das Programm anscheinend technische Diagramme für nachrichtendienstliche Zwecke sammelt.
Ein Netzwerk von 80 Servern in Asien, Europa und Nordamerika wurde verwendet, um aus der Ferne auf die infizierten Computer zuzugreifen.
Ursprung
Am 19. Juni 2012 veröffentlichte die Washington Post einen Artikel, in dem behauptet wird, dass Flame vor mindestens fünf Jahren gemeinsam von der US-amerikanischen National Security Agency , der CIA und dem israelischen Militär entwickelt wurde. Das Projekt soll Teil einer geheimen Aktion mit dem Codenamen Olympische Spiele sein , die Informationen sammeln sollte, um eine Cybersabotage-Kampagne vorzubereiten , die darauf abzielt, die iranischen Nuklearbemühungen zu verlangsamen.
Laut Kasperskys Chef-Malware-Experten "lassen die Geographie der Ziele und auch die Komplexität der Bedrohung keinen Zweifel daran, dass es sich um einen Nationalstaat handelt, der die Forschungen finanziert hat." Kaspersky sagte zunächst, dass die Malware keine Ähnlichkeit mit Stuxnet habe, obwohl es sich möglicherweise um ein Parallelprojekt derselben Angreifer gehandelt habe. Nach einer weiteren Analyse des Codes sagte Kaspersky später, dass zwischen Flame und Stuxnet eine starke Beziehung besteht; die frühe Version von Stuxnet enthielt Code zur Verbreitung über USB-Laufwerke, der fast identisch mit einem Flame-Modul ist, das dieselbe Zero-Day-Schwachstelle ausnutzt .
Das iranische CERT beschrieb die Verschlüsselung der Malware als "ein besonderes Muster, das nur aus Israel kommt". Der Daily Telegraph berichtete, dass Israel aufgrund der offensichtlichen Ziele von Flame – zu denen der Iran, Syrien und das Westjordanland gehörten – zum „Hauptverdächtigen vieler Kommentatoren“ wurde. Andere Kommentatoren nannten China und die USA als mögliche Täter. Richard Silverstein , ein kritischer Kommentator der israelischen Politik, behauptete, er habe mit einer "leitenden israelischen Quelle" bestätigt, dass die Malware von israelischen Computerexperten erstellt wurde. Die Jerusalem Post schrieb, Israels Vizepremierminister Moshe Ya'alon habe anscheinend angedeutet, dass seine Regierung verantwortlich sei, aber ein israelischer Sprecher bestritt später, dass dies impliziert worden sei. Unbenannte israelische Sicherheitsbeamte schlugen vor, dass die in Israel gefundenen infizierten Maschinen darauf hindeuten könnten, dass das Virus auf die USA oder andere westliche Nationen zurückgeführt werden könnte. Die USA haben die Verantwortung offiziell bestritten.
Ein durchgesickertes NSA-Dokument erwähnt, dass der Umgang mit der Entdeckung von FLAME durch den Iran eine gemeinsame Veranstaltung von NSA und GCHQ ist .
Siehe auch
- Cyber-elektronische Kriegsführung
- Cyber-Sicherheitsstandards
- Cyber Terrorismus
- Betrieb High Roller