Cyber-Kriminalität:
»Flame« benutzte Windows Zertifikat

von magnus.de

05.06.2012

Kaspersky Labs hat herausgefunden, wie sich der Spionagevirus Flame verbreitet hat. Die Hacker tarnten den Schadcode so, als sei der Virus von Microsoft zertifiziert.

Schon letzte Woche hat Kaspersky Labs den Spionage-Virus Flame entdeckt, der sich im Nahen und Mittleren Osten verbreitete. Nun schrieb Microsoft in einem Blogeintrag [1], eine hauseigene Software zur Ausstellung von Zertifikaten, die mit älteren Kryptographie-Algorithmen arbeitete, habe es den Hackern erlaubt, Teile des Virencodes als von Microsoft zertifiziert erscheinen zu lassen.

Die Signaturen gehen auf Zertifikate zurück, die Microsoft an Kunden über den Terminal-Services-Lizenzserver vergeben hatte. Die eigentliche Verbreitung fand dann über ein gefälschtes Windows-Update statt, dass auch auf weitere Rechner im gleichen Netzwerk weitergereicht wurde. Die Schwachstelle ist mittlerweile mit eilig erstellten Patches abgesichert.

Der Kaspersky-Virenexperte Costin Raiu hat die Mechanismen dahinter entdeckt. Ein Modul namens Gadget im Code von Flame war in der Lage, über ein anscheinend von Microsoft stammendes Paket namens WuSetupV.exe per einem man-in-the-middle-Szenario den Virus weiter im Netzwerk zu multiplizieren. Dieses Paket zeigt auch klar die Ausrichtung des Virus, denn das Gadget-Modul wurde nur aktiv, wenn GMT+2 und höher eingestellt ist. Das sind Zeitzonen östlich der unseren.

Kaspersky Labs deckte auch die Infrastruktur hinter Flame auf. Dort waren 15 Server im Einsatz, die jeweils für rund 50 infizierte Netze zuständig waren. Alle Server waren mit gefälschten Identitäten angemietet und unauffällig über Europa und Asien verteilt. Die Server gingen sofort vom Netz, als die ersten Presseberichte zu Flame auftauchten.

Die allermeisten Enduser haben von Flame nichts bemerkt, da dieser auf Spionage im Industrie- und Regierungsbereich ausgelegt ist. Allerdings befürchten Experten, dass trittbrettfahrende Hacker bereits die Techniken von Flame nutzen könnten, um Rechner, die die Patches und Updates von Microsoft missachtet haben, zu infiltrieren.

[1] http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx

Verwandte Artikel