Flamer: der komplexeste Angriff seit Stuxnet und Duqu gegen Ziele im Mittleren Osten
Es handelt sich um einen hochkomplexen und diskret agierenden Schadcode, der an die Qualität von Stuxnet und Duqu heranreicht. Erste Ergebnisse zeigen, dass der Schadcode konstruiert wurde, um Informationen von infizierten Systemen zu stehlen. Die Opfersysteme befinden sich hauptsächlich im Mittleren Osten. Wie seine beiden Vorgänger wurde der Code nicht von Einzelpersonen, sondern von einer gut organisierten und finanzierten Gruppe unter klaren Vorgaben entwickelt.
Der Code enthält zahlreiche Referenzen zu dem Begriff „FLAME“ (Deutsch: Flamme). Diese Zeichenkette bezieht sich möglicherweise auf verschiedene Angriffsinstanzen in Teilen des Codes selbst oder aber auf den Projektnamen, unter dem der Schadcode entwickelt wurde.
Der Schadcode W32.Flamer wurde sehr diskret über den Zeitraum der vergangenen zwei Jahre oder noch länger eingesetzt. Er ist in der Lage, Dokumente zu stehlen, Screenshots der infizierten Desktops zu schießen, sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten und sich unter bestimmten Bedingungen auf weitere Systeme zu kopieren. Die Malware ist möglicherweise auch dazu fähig, über mehrere bekannte Schwächen von Windows, für die allerdings bereits Patches geschrieben wurden, über das Netzwerk andere Systeme zu infizieren.
Die ersten Telemetriedaten zeigen, dass sich die primären Ziele des Schadcodes in der West Bank in Palästina, Ungarn, dem Iran und dem Libanon befinden. Zu den anderen Zielen gehören Russland, Österreich, Hong Kong und die Vereinigten Arabischen Emirate. Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lässt sich aktuell noch nichts Konkretes sagen.
Allerdings deuten die ersten Analysen darauf hin, dass nur wenige Opfer aus denselben Gründen attackiert wurden. Die Attacken haben sich mehr auf das Privatleben der Opfer statt auf ihre Arbeit oder ihre Rolle als Angestellter in einer bestimmten Organisation konzentriert. Interessanterweise scheinen die meisten infizierten Systeme private Rechner zu sein, die von zu Hause aus mit dem Internet verbunden waren.
Der jüngste Sicherheitsbericht von Symantec hat im vergangenen Jahr bereits einen signifikanten Anstieg bei gezielten Attacken festgestellt. Die 17. Auflage des Internet Security Threat Reports hat 2011 pro Tag 82 solcher Angriffe erfasst, im Gegensatz zu 77 Attacken pro Tag im Vorjahr. Die Sicherheitsexperten von Symantec erwarten, dass Frequenz und Niveau dieser fortschrittlichen Angriffe in diesem Jahr weiter zunehmen werden.
Die Experten in den Virenforschungslaboren von Symantec werden den Schadcode weiter untersuchen und in Kürze eine ausführliche technische Analyse veröffentlichen.
Weitere Details können Sie auf dem Security Response Blog finden. Bitte kommen Sie auf uns zu, falls Sie Fragen in einem persönlichen Gespräch mit den Experten von Symantec besprechen wollen.
Der Code enthält zahlreiche Referenzen zu dem Begriff „FLAME“ (Deutsch: Flamme). Diese Zeichenkette bezieht sich möglicherweise auf verschiedene Angriffsinstanzen in Teilen des Codes selbst oder aber auf den Projektnamen, unter dem der Schadcode entwickelt wurde.
Der Schadcode W32.Flamer wurde sehr diskret über den Zeitraum der vergangenen zwei Jahre oder noch länger eingesetzt. Er ist in der Lage, Dokumente zu stehlen, Screenshots der infizierten Desktops zu schießen, sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten und sich unter bestimmten Bedingungen auf weitere Systeme zu kopieren. Die Malware ist möglicherweise auch dazu fähig, über mehrere bekannte Schwächen von Windows, für die allerdings bereits Patches geschrieben wurden, über das Netzwerk andere Systeme zu infizieren.
Die ersten Telemetriedaten zeigen, dass sich die primären Ziele des Schadcodes in der West Bank in Palästina, Ungarn, dem Iran und dem Libanon befinden. Zu den anderen Zielen gehören Russland, Österreich, Hong Kong und die Vereinigten Arabischen Emirate. Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lässt sich aktuell noch nichts Konkretes sagen.
Allerdings deuten die ersten Analysen darauf hin, dass nur wenige Opfer aus denselben Gründen attackiert wurden. Die Attacken haben sich mehr auf das Privatleben der Opfer statt auf ihre Arbeit oder ihre Rolle als Angestellter in einer bestimmten Organisation konzentriert. Interessanterweise scheinen die meisten infizierten Systeme private Rechner zu sein, die von zu Hause aus mit dem Internet verbunden waren.
Der jüngste Sicherheitsbericht von Symantec hat im vergangenen Jahr bereits einen signifikanten Anstieg bei gezielten Attacken festgestellt. Die 17. Auflage des Internet Security Threat Reports hat 2011 pro Tag 82 solcher Angriffe erfasst, im Gegensatz zu 77 Attacken pro Tag im Vorjahr. Die Sicherheitsexperten von Symantec erwarten, dass Frequenz und Niveau dieser fortschrittlichen Angriffe in diesem Jahr weiter zunehmen werden.
Die Experten in den Virenforschungslaboren von Symantec werden den Schadcode weiter untersuchen und in Kürze eine ausführliche technische Analyse veröffentlichen.
Weitere Details können Sie auf dem Security Response Blog finden. Bitte kommen Sie auf uns zu, falls Sie Fragen in einem persönlichen Gespräch mit den Experten von Symantec besprechen wollen.