Kaspersky Lab meldet Spionagesoftware „miniFlame“

Kaspersky Lab hat eine weitere Variante der Malware Flame gemeldet. Sie wird in einem Blogeintrag als „miniFlame“ oder auch SPE bezeichnet. Die Software ist demnach seit Juli bekannt, galt bisher aber als Modul von Flame selbst.

Jetzt schreiben die Experten: „Während einer intensiven Analyse der Struktur der Command & Control Server von Flame im September 2012 stellte sich heraus, dass miniFlame auch als unabhängiges Programm eingesetzt werden kann sowie als Plug-in für Flame und Gauss funktioniert.“ Es arbeitet als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systeme spezialisiert ist.

„miniFlame ist eine hochpräzise Angriffswaffe. Höchstwahrscheinlich dient sie als zweite Welle einer Cyber-Attacke“, sagt Alexander Gostev, Chief Security Expert von Kaspersky Lab. „Zuerst kommen Flame oder Gauss zum Einsatz, um von möglichst vielen Opfern eine große Anzahl an Informationen zu gewinnen. Nach einer ersten Bewertung der Daten werden potenziell interessante Opfer identifiziert und miniFlame installiert, um eine tiefgreifende Überwachung und Cyberspionage durchzuführen. Die Entdeckung von miniFlame ist für uns auch eine weitere Bestätigung der Vermutung, dass die Entwickler der bekanntesten Cyberwaffen zusammenarbeiten: Stuxnet, Duqu, Flame und Gauss.“

Nach Einschätzung von Kaspersky hat die Entwicklung von miniFlame Anfang 2007 begonnen und dauerte bis Ende 2011. Bisher wurden sechs Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden. Es dürfte zahlreiche weitere geben.

miniFlames Infektionsrate ist aber wesentlich niedriger als die von Flame oder Gauss. Nach den Daten von Kaspersky Lab dürften nur etwa 10 bis 20 Maschinen infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner soll bei 50 bis 60 Stück liegen. Möglicherweise wird miniFlame für sehr gezielte Cyber-Spionage eingesetzt – und zwar auf Rechnern, die schon mit Gauss oder Flame infiziert waren.

Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots, insbesondere während Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client laufen. Die Daten lädt miniFlame auf C&C-Server, die auch von Flame genutzt werden. Durch die Anfrage des miniFlame-C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.