miniFlame beweist Cyberspionage-Verwandtschaft

Die wichtigsten Erkenntnisse zu miniFlame

Die wichtigsten Erkenntnisse von Kaspersky zu miniFlame:
* MiniFlame basiert auf der gleichen Architektur wie Flame. Es funktioniert als alleinstehendes Programm oder als Plug-in von Flame oder Gauss.
* Das Spionage-Werkzeug arbeitet als Backdoor-Trojaner, der auf Datendiebstahl sowie direkten Zugriff auf infizierte Systeme spezialisiert ist.
* Die Entwicklung von miniFlame hat vermutlich Anfang 2007 begonnen und dauerte bis Ende 2011. Es wird angenommen, dass viele Varianten davon existieren. Bis dato hat Kaspersky Lab sechs der Varianten identifiziert, die sich im Versionsstadium 4.x und 5.x befinden.
* Im Unterschied zu Flame oder Gauss ist jedoch seine Infektionsrate wesentlich niedriger. Nach den Daten, die Kaspersky Lab vorliegen, dürften etwa 10 bis 20 Rechner infiziert sein. Die gesamte Zahl der weltweit befallenen Rechner dürfte bei lediglich 50 bis 60 Stück liegen.
* Aus der geringen Verbreitung sowie seinen flexiblen Eigenschaften zum Diebstahl von Daten schliesst Kaspersky, dass miniFlame für gezielte Cyber-Spionage eingesetzt wurde, und vermutlich bei Rechnern zum Einsatz kam, die schon mit Gauss oder Flame infiziert waren.
* Zu den Funktionen für den Datendiebstahl zählen das Erstellen von Screenshots eines infizierten Rechners während dieser spezielle Programme und Anwendungen wie Browser, Microsoft Office, Adobe Reader, Instant Messenger oder einen FTP-Client betreibt.
* MiniFlame führt einen Upload der gestohlenen Daten durch, indem es sich mit C&C-Servern verbindet, die auch von Flame genutzt werden können. Durch die Anfrage des miniFlame C&C-Operators kann ein zusätzliches Modul an ein infiziertes System gesendet werden, das USB-Laufwerke infiziert und diese nutzt, um die gestohlenen Daten von infizierten Rechnern zu speichern, ohne dass eine Internet-Verbindung besteht.



Kommentare
Es sind keine Kommentare vorhanden.