Iran berichtet von massiven Datenverlusten durch „Flame“

Ein iranischer Experte für Cybersicherheit hat „massive“ Datenverluste durch den Spionagevirus Flame eingeräumt. Kamran Napelian vom iranischen Computer Emergency Response Team Coordination Center (das auch „Maher“ genannt wird) nannte den Schädling potenziell gefährlicher als den 2010 entdeckten Computerwurm Stuxnet, der erfolgreich iranische Atomanlagen sabotierte.

Auf seiner Website beschreibt Maher Flame als eine Malware-Plattform, die eine Reihe von Modulen für verschiedene Zwecke einsetzt und von gängigen Antivirenprogrammen bislang nicht erkannt wird. Sie kommt über Wechseldatenträger wie USB-Sticks in lokale Netzwerke und infiziert Systeme mit den Betriebssystemen Windows XP, Vista und 7. Anders als Stuxnet zielt Flame nicht auf Sabotage ab, sondern spioniert die Netzwerke äußerst effektiv aus. Es kann Dateien verschlüsselt an Kontrollserver übertragen, Screenshots anfertigen und Audio-Übertragungen abhören.

Flame hat sich vor allem in nahöstlichen Ländern und insbesondere im Iran verbreitet. Nach iranischen Angaben wurden zahlreiche Rechner hoher Regierungsmitarbeiter befallen. Der Spionageangriff habe speziell Irans Ölindustrie gegolten. Das Ministerium für Öl und Energie musste im letzten Monat alle Internetverbindungen kappen und Daten aus Sicherungsdateien wiederherstellen. „Der Virus hat einige Bereiche penetriert, darunter den Ölsektor“, erklärte Gholam Reza Jalali, der eine Militäreinheit gegen Sabotage leitet. Der Angriff sei jedoch erkannt worden und die Situation unter Kontrolle.

Maher-Mitarbeiter Kamran Napelian glaubt, die Herkunft von Flame anhand der eingesetzten Verschlüsselungstechniken bestimmen zu können. Sie wiesen auffällige Ähnlichkeiten zu früherer Malware aus Israel auf. „Seine Verschlüsselung hat ein besonderes Muster, das man nur aus Israel bekommt“, erklärte er in einem telefonischen Interview mit der New York Times. „Flame ist kein gewöhnliches Produkt. Es wurde konzipiert, um ausgewählte Computer zu überwachen.“

Wie schon früher wollte Israel eine mögliche Beteiligung weder bestätigen noch dementieren. Eine Äußerung von Vizepremier Moshe Yaalon wurde jedoch vielfach als indirekter Hinweis aufgefasst: „Für jeden, der die Bedrohung durch den Iran als erheblich ansieht, ist es vernünftig, ihm mit verschiedenen Maßnahmen zu schaden – diese eingeschlossen.“

Update 14.40 Uhr: Israel hat gegenüber der BBC jede Beteiligung an „Flame“ ausdrücklich dementiert.

Wie Maher berichtet, vermochte keine von 43 überprüften Antivirenlösungen Flame zu erkennen. Gegenüber TechWeekEurope bezeichnete Mikko Hypponen von F-Secure Flame als ein weiteres Beispiel für das Versagen der Sicherheitsfirmen. Er bezog sich dabei auf Berichte, nach denen mit Flame zusammenhängende Dateien schon vor Jahren aufgetaucht waren: „Wenn wir es zwei Jahre übersehen haben, vielleicht fünf Jahre, nicht nur wir, sondern die ganze verdammte Branche – wie könnte man das nicht als Versagen bezeichnen? Und es ist nicht das erste Mal. Wir haben Duqu längere Zeit nicht bemerkt, wir haben Stuxnet mindestens zwei Jahre übersehen.“

[mit Material von Tom Brewster, TechWeekEurope]

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.