Computer im Iran und mehreren anderen Ländern wurden Ziel eines „Super-Trojaners". Vermutungen, Israel könnte dahinterstecken, hat Jerusalems Vizepremier selbst Nahrung gegeben.
Wien. Die Stasi würde der Neid fressen: Dieser Spion ist unsichtbar, er verbreitet sich lautlos und hat er seinen Bestimmungsort erreicht, dann kann er alles, aber auch alles an Daten abschöpfen, was auf dem Zielrechner vorhanden ist. Bis zum letzten Byte.
Die Rede ist von „Flame", jenem neu entdeckten Super-Trojaner, der vor allem im Nahen Osten sein Unwesen treibt, und dort vor allem Computer im Iran befällt. Es wäre nach „Stuxnet" - dem Virus, der gezielt Zentrifugen des iranischen Atomprogramms infizierte und zerstörte - und dem Spionageprogramm „Duqu" bereits der dritte Cyber-Angriff auf den Iran, der an die Öffentlichkeit dringt.
Es gab und gibt wohl noch mehr, denn weltweit bleiben 80 bis 90 Prozent dieser Attacken geheim, erklärt Alexander Klimburg, Cyber-Security-Experte am Österreichischen Institut für Internationale Politik (OIIP) im Gespräch mit der „Presse": „Diese Angriffe finden andauernd statt. Dass sie publik gemacht werden, ist aber äußerst selten."
Publik gemacht hat die jüngste Attacke am Montag der Internet-Sicherheitsguru Jewgenij Kaspersky, der von einer UN-Organisation auf den Schädling angesetzt worden ist. Seither sickern allmählich Details durch. „Diesmal dürfte es nichts mit dem iranischen Atomprogramm zu tun haben, sondern eher mit den Revolutionsgarden, mit der Hisbollah und den al-Quds-Brigaden. Es liest sich wie eine Netzwerkkarte islamistischer Terrorgruppen, die vom Iran kontrolliert werden", sagt Klimburg.
Spionagewaffe der Superlative
Flame lässt beinahe keine technische Möglichkeit eines Trojaners aus. Die einzelnen Funktionen sind für sich betrachtet nicht neu, in einem einzigen Schädling vereint werden sie aber zur Spionagewaffe der Superlative. Flame verbreitet sich über USB-Sticks und Sicherheitslücken in Windows aus, die Microsoft zwar bereits geschlossen hat - das Update wurde aber noch nicht überall installiert. Zudem könnten weitere, noch nicht entdeckte Schwachstellen als Schlupfloch dienen. Der Trojaner hat es auf die Windows-Versionen XP, Vista und 7 abgesehen und bietet alle erdenklichen Möglichkeiten der Spionage: Flame sammelt Daten wie etwa Passwörter, scannt Festplatten auf bestimmte Dateitypen, fertigt Screenshots an, während der Nutzer bestimmte Programme bedient und kann sogar ein angeschlossenes Mikrofon aktivieren oder die Tastatur überwachen. Selbst ein Zugriff auf nahe Geräte über Bluetooth wäre möglich, erklärt Kaspersky.
Alle diese Daten werden auf unbekannte Server übertragen. Wie umfassend Flame ist, veranschaulicht bereits seine Größe: Rund 20 Megabyte misst der vollständige Schädling, während gefährliche Cyber-Waffen wie Stuxnet lediglich 500 Kilobyte ausmachen. Flame ist seit bis zu fünf Jahren aktiv und wurde nicht nur im Nahen Osten registriert. Auch in Österreich sei der Trojaner aktiv gewesen, es könnte sich aber um ein infiziertes Notebook handeln, das quasi nur auf der Durchreise war, schreiben die Sicherheitsexperten von Symantec.
Hinweis auf gezielte Attacke
Mittlerweile wird die Zahl der infizierten Computer auf 5000 geschätzt. Eigentlich eine niedrige Zahl, wenn man bedenkt, dass andere Trojaner gleich Millionen PCs weltweit infizieren. Dies könnte ein Beweis für einen zielgerichteten Angriff sein. Auch die Komplexität des Codes erinnert Sicherheitsfirmen wie Kaspersky und Symantec an frühere Cyber-Waffen wie Stuxnet, auch wenn die tatsächlichen Überschneidungen gering sind. Wer steckt also dahinter?
„Die großen Geheimdienste können das viel besser", ist Experte Klimburg überzeugt. Vor allem könnten sie kleinere, viel schwerer zu findende Schadsoftware entwickeln. Aber das Entdecktwerden könnte im Sinn psychologischer Kriegführung Teil des Plans sein, meint Klimburg. Als Signal, um der gegnerischen Seite zu signalisieren: „Deine Systeme gehören uns."
Ein Akt psychologischer Kriegführung könnte auch die Aussage von Israels Vizepremier Moshe Ya'alon sein, der die Berichte über den neuen Super-Trojaner mit den Worten kommentierte: „Israel ist gesegnet als Nation mit hoch entwickelter Technologie. Diese Errungenschaften eröffnen uns die verschiedensten Möglichkeiten."
Wer auch immer dahintersteckt, die Programmierer von Kaspersky haben schon viel gesehen, und ihr Urteil klingt alles andere als beruhigend: „Flame definiert die Begriffe ,Cyberkrieg‘ und ,Cypberspionage‘ neu."
