IT-Experten aus den USA und Israel haben in Zusammenarbeit den Spionage-Wurm Flame entwickelt. Ziel waren die iranischen Atomanlagen, die Urananreicherungszentrifugen. Damit der Angriff mit dem Wurm Stuxnet auch gelang, galt es im Vorfeld, so viele Informationen wie möglich zu sammeln. Denn auf einen zweiten Versuch konnten die Angreifer nicht hoffen.

Flame erstellte eine Karte des iranischen Internets, indem immer wieder Informationen „nach Hause“ gesendet wurden. Dabei wurden auch Office-Dokumente, PDF-Dateien und technische Zeichnungen an den Kommandoserver übertragen und Bildschirm und Tastatureingaben überwacht. Der US-Geheimdienst NSA, die CIA und das israelische Militär arbeiteten gemeinsam an dem Projekt.

Flame wurde im Mai entdeckt, nachdem er in einem Angriff auf die iranische Ölindustrie aufflog. Die Angriffe wurden in einem Alleingang von Israel durchgeführt.

Der Schädling ist nach Experten darauf getrimmt, sich über hoch sichere Netzwerke zu vermehren. Ein Mitgrund, weshalb Flame lange Zeit nicht entdeckt wurde, ist, dass Flame mit einem Microsoft- Zertifikat unterschrieben wurde. Wie sich herausstellte, wurde eine komplexe Sicherheitslücke in der MD5-Prüfsumme genutzt, um die Unterschrift mit dem gefälschten Zertifikat vorzutäuschen. Experten fanden heraus, dass dies für Opfercomputer mit Windows XP gar nicht nötig gewesen wäre. Das Zertifikat ist durch eine Erweiterung geschützt, jedoch wertet Windows XP dieses gar nicht aus. Jeder, der aktive Terminal Services betreibt, hätte Software im Namen von Microsoft signieren und gefälschte Windows-Updates erstellen können.

Flame nutzt bereits infizierte Systeme, um anderen Rechnern das vermeintliche Microsoft-Update unterzuschieben. Dazu bietet sich der infizierter Rechner als Proxy an, um einen Man-in-the-Middle-Angriff durchzuführen.

Tom Parker, Chief Technology Mitarbeiter bei FusionX, einer Firma, die staatliche Spionageangriffe simuliert:

This is not something that most security researchers have the skills or resources to do. You’d expect that of only the most advanced cryptomathematicians, such as those working at NSA.

Nach Bekanntwerden hat Microsoft diesen Schlüssel für ungültig erklärt.

Sowohl Sprecher der NSA, der CIA und des israelischen Militärs enthielten sich eines Kommentars.

Siehe auch: Stuxnet wurde von Obama beauftragt

Artikel von washingtonpost.com, 19.06.2012: U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say
Artikel von heise.de Magazin c’t Nr. 14, 18.06.2012: Spionage-Trojaner Flame verbreitet sich über Windows Update