Experten für IT-Sicherheit haben einen neuen, hochkomplexen Computer-Virus entdeckt. Die "Flame" getaufte Schadsoftware habe tausende Rechner vorwiegend im Nahen Osten befallen und sei seit bis zu fünf Jahren aktiv, teilte die auf Anti-Viren-Programme spezialisierten Firma Kaspersky Lab am Montag mit. Der Wurm scheint gezielt eingesetzt worden sein, womit er an frühere "Cyber-Waffen" wie Stuxnet und Duqu erinnert.

Analyse

Die Experten von Kaspersky stehen bei der Entschlüsselung des Virus nach eigenen Angaben noch am Anfang. Auffällig sei an "Flame" jedenfalls seine Größe, es könne bis zu 20 Megabyte groß sein und damit erheblich größer als vergleichbare Angreifer. Das ergibt sich allerdings zumindest zum Teil durch das Design von "Flame", der zahlreiche bekannte Bibliotheken mitliefert, etwa sqlite und die Skriptsprache LUA. Der Kern der Software bestehe aus 3.000 Zeilen Code. Kaspersky geht davon aus, dass man rund ein Jahr brauchen werde, um "Flame" vollständig zu analysieren. Schon bei Stuxnet hatte es sechs Monate gedauert, bis alle Details bekannt waren.

Funktionen

Betroffen seien bis zu 5.000 Computer, vor allem von Unternehmen und Bildungseinrichtungen im Iran, Israel, den Palästinensergebieten, dem Sudan und Syrien. "Flame" kann laut Kaspersky Daten sammeln, die Einstellungen des befallenen Computers verändern, das Mikrofon einschalten, um Gespräche mitzuschneiden, Screenshots machen und Chats aufzeichnen. Aufgabe des Wurms sei also ganz offensichtlich das gezielte Ausspionieren einzelner Personen. 

Aufgespürt

Den Angaben zufolge kamen die Experten dem Virus bei Nachforschungen zu einer Angriffsserie einer anderen Schadsoftware namens "Wiper" auf die Spur. Diese habe auf Computern im Nahen Osten wichtige Daten gelöscht. "Flame" wurde für Windows-PCs entwickelt, und verbreitet sich über infizierte USB-Sticks, manipulierte E-Mails und Websites sowie über lokale Netzwerke. Der Wurm wird durch externe Computer über das Internet gesteuert.

Behauptungen

Eine iranische Agentur für Datensicherheit teilte über ihre Webseite mit, "Flame" habe eine "enge Verbindung" zu Stuxnet und sei möglicherweise für Cyberangriffe verantwortlich, die nach iranischen Angaben jüngst für umfangreiche Datenverluste in einigen Computersystemen des Landes gesorgt hatten. Kaspersky bestätigt diese Behauptung nur zum Teil: Zwar sei die Ausrichtung von "Flame" offensichtlich sehr ähnlich, beim Code gebe es aber nur wenige Gemeinsamkeiten. Auffällig sei lediglich, dass sie dieselbe autorun.inf-Lücke in Windows als Angriffsweg nutzen.

Reaktionen

Israel hält den Einsatz von "Cyberwaffen" wie dem neuen Computer-Virus "Flame" für Angriffe auf den Iran für berechtigt, um Teheran von der Entwicklung von Atomwaffen abzuhalten. Für jedes Land, das sich durch die Atombestrebungen des Iran bedroht fühle, sei der Einsatz eines Virus "sinnvoll", sagte Vize-Regierungschef Mosche Jaalon am Dienstag im israelischen Armee-Rundfunk. "Israel ist gesegnet, ein technologisch reiches Land zu sein", ergänzte er. Viren wie "Flame", so Jaalon, "eröffnen uns alle Möglichkeiten".

Kein Bekenntnis

Jaalon bestätigte nicht, dass Israel hinter dem Virus steckt, heizte mit seinen Äußerungen aber entsprechende Spekulationen an. Der neue Virus "Flame" treibt laut dem russischen Antivirus-Unternehmen Kaspersky Lab bereits seit März 2010 sein Unwesen, war wegen seiner "extremen Komplexität" aber bisher nicht aufzuspüren. Er soll als "Cyberwaffe" noch gefährlicher sein als der Wurm Stuxnet, der im Jahr 2010 in der iranischen Atomanlage Natans unter anderem Zentrifugen lahmgelegt hatte.

Stuxnet

Kaspersky machte keine Angaben dazu, gegen welches Land sich "Flame" richtet. Westlichen Medienberichten zufolge wurde der neue Virus bereits genutzt, um die iranische Öl-Industrie anzugreifen. Der Computerwurm "Stuxnet" war gegen das umstrittene Atomprogramm des Landes eingesetzt worden und soll von Israel in Zusammenarbeit mit westlichen Sicherheitsbehörden entwickelt worden sein. Im vergangenen Jahr wurde der erste Stuxnet-Nachfolger Duqu in mehreren Ländern entdeckt. (red/APA/Reuters, derStandard.at, 28.5.2012)