31.05.2012 18:03

Flame(r): Ein Medienhype

Wiedermal hat es eine Schadsoftware (Malware) in die breitenwirksame Medienlandschaft geschafft.

In der Presse war in den letzten Tagen viel über einen "Cyber Angriff" auf den Iran zu lesen, von dort kam jetzt auch ein "Wir haben den Angriff abgewehrt". All das wird medial sehr hochgespielt.

Hier sind die Informationen, die CERT.at vorliegen:

• Die Fähigkeiten der Malware sind nicht neu. Das ist ein Information-Stealer, wie sie seit Jahren im Umlauf sind. Vergleichbar potente Malware wurde schon in vielen Fällen rund um den Globus gefunden.
• Die Malware -- oder zumindestens Teile davon -- sind nicht komplett neu.
• Wir haben keinerlei Beweise, dass das ein gezielter Angriff auf den Iran war.
• Die Erkennung und Entfernung ist relativ trivial, das ist kein trickreiches Rootkit.
• Die Erkennung und "Abwehr" von Flame(r) wurde wie eine PR-Kampagne durch die internationale Presse getrieben. Der Effekt dort kann gut stärker gewesen sein, als was die Malware selber angerichtet hat.
• Wir sehen keinen Beweis für einen Zusammenhang mit Stuxnet oder Duqu.

Ist Österreich betroffen?

• Uns ist kein Fall bekannt. Achtung: in einigen Berichten war von Österreich die Rede (was auch breit zitiert wurde.) Da mag es aber initial zu Verwechslungen mit Ungarn gekommen sein.
• Kaspersky betreibt Sinkholes für einige der Domains, die für die C&C Kommunikation benutzt werden. Dort ist noch kein Zugriff aus Österreich registriert worden.

Removal Software

Das Iranische MAHER / Certcc.ir Team bietet ein "Removal Tool" zum Download an. Wir haben uns das kurz angesehen und kein unangekündigtes Verhalten gefunden.

Aber: Das Teil bittet darum, drei ZIP Archive in den Iran für weitere Analysen zu schicken. Davor raten wir explizit ab!

Tatsächlich ist es so, dass jenes Removal-Tool versucht alle mit der Flame(r)-Infektion in Zusammenhang stehenden Files in diesen drei ZIP Archiven "zusammenzupacken". Dies bedeutet, dass dies natürlich auch von der Malware bereits gesammelte sensible Informationen betreffen könnte.

Das - in dem Removal-Tool beiligenden Readme nicht genannte - Passwort für jene drei ZIP Archive lautete in unserer Laborumgebung übrigens "Mallab5752".

Wie auch immer, deutlich sinnvoller scheint es, die Tools der bekannten AV-Hersteller zu nehmen.

Zusammenfassung

Das Ganze wurde von diversen Playern (Iran, ITU, ...) medial hochgespielt.

Ein Security Researcher hat das in einer geschlossenen Liste so formuliert: "I don't know if Iran has mastered the nuclear cycle. But they appear to have mastered the 24 hours news cycle."

Es gibt keinen Hinweis, dass sich die Bedrohungslage für Österreich mit diesem Vorfall messbar verändert hätte.

Links:

• symantec.com (security_response)
• symantec.com (blog)
• crysys.hu
• f-secure.com
• securelist.com
• damballa.com
• bitdefender.com
• wikipedia.org
• certcc.ir
• alienvault.com

Insbesondere der Kontrast zwischen den beiden Symantec-Artikeln ist nett.

Autor: Christian Wojner