Cyber-Spionage

Flame Virus verbreitete sich über Windows Zertifikat

Nachdem Kaspersky Labs den Spionagevirus Flame entdeckt hatte, ist nun bekannt geworden, wie er sich verbreitet hat. Die Hacker ließen es so aussehen, als sei der Virencode von Microsoft zertifiziert.

tools,angriff,Baukasten-System,Metasploit,Aufmacher,cracker,hacker,security,hacken,Cracken,test,sicherheit,Diebstahl

© Archiv

tools,angriff,Baukasten-System,Metasploit,Aufmacher,cracker,hacker,security,hacken,Cracken,test,sicherheit,Diebstahl

Wir berichteten letzte Woche über den von den Kaspersky Labs entdeckten Spionage-Virus Flame, der sich im Nahen und Mittleren Osten verbreitete. Nun schrieb Microsoft in einem Blogeintrag, eine hauseigene Software zur Ausstellung von Zertifikaten, die mit älteren Kryptographie-Algorithmen arbeitete, habe es den Hackern erlaubt, Teile des Virencodes als von Microsoft zertifiziert erscheinen zu lassen.

Die Signaturen gehen auf Zertifikate zurück, die Microsoft an Kunden über den Terminal-Services-Lizenzserver vergeben hatte. Die eigentliche Verbreitung fand dann über ein gefälschtes Windows-Update statt, dass auch auf weitere Rechner im gleichen Netzwerk weitergereicht wurde. Die Schwachstelle ist mittlerweile mit eilig erstellten Patches abgesichert.

Der Kaspersky-Virenexperte Costin Raiu hat die Mechanismen dahinter entdeckt. Ein Modul namens Gadget im Code von Flame war in der Lage, über ein anscheinend von Microsoft stammendes Paket namens WuSetupV.exe per einem man-in-the-middle-Szenario den Virus weiter im Netzwerk zu multiplizieren. Dieses Paket zeigt auch klar die Ausrichtung des Virus, denn das Gadget-Modul wurde nur aktiv, wenn GMT+2 und höher eingestellt ist. Das sind Zeitzonen östlich der unseren.

Kaspersky Labs deckte auch die Infrastruktur hinter Flame auf. Dort waren 15 Server im Einsatz, die jeweils für rund 50 infizierte Netze zuständig waren. Alle Server waren mit gefälschten Identitäten angemietet und unauffällig über Europa und Asien verteilt. Die Server gingen sofort vom Netz, als die ersten Presseberichte zu Flame auftauchten.

Die allermeisten Enduser haben von Flame nichts bemerkt, da dieser auf  Spionage im Industrie- und Regierungsbereich ausgelegt ist. Allerdings befürchten Experten, dass trittbrettfahrende Hacker bereits die Techniken von Flame nutzen könnten, um Rechner, die die Patches und Updates von Microsoft missachtet haben, zu infiltrieren.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…