Lehren aus Flame, drei Jahre später

Vor drei Jahren, am 28. Mai 2012, gingen wir mit der Entdeckung einer Malware an die Öffentlichkeit, die wir Flame nannten. Als wir unsere FAQs veröffentlichten, stellte CrySyS Lab gleichzeitig seine umfassende Analyse von sKyWIper vor. Einige Tage zuvor hatte bereits das Maher CERT IOCs für Flamer veröffentlicht. Kurz gesagt: Flame, sKyWIper und Flamer sind unterschiedliche Namen für dieselbe Bedrohung, die als erste große Entdeckung nach Stuxnet und Duqu schnell die ganze Welt in Erstaunen versetzte.

Seit der Entdeckung von Flame haben wir schon von vielen anderen fortschrittlichen Malware-Plattformen berichtet, Regin und Equation eingeschlossen. Doch Flame ist und bleibt eine der komplexesten, überraschendsten und innovativsten Malware-Kampagnen, mit denen wir es je zu tun hatten.

Mit Rückblick auf die Entdeckung von Flame hier nun einige Lehren, die wir daraus gezogen haben.

  1. Erstklassige Schadsoftware auf Regierungsniveau kann groß sein. Ein vollständig bereitgestelltes Set an Flame-Modulen betrug um die 20 Megabytes, was viel ist. Vorher bewegte sich raffinierte Malware im Bereich von Kilobytes oder einigen hundert Kilobytes; die meisten Leute hätten damals eine ausführbare Datei von 6MB als „uninteressant“ verworfen. Nun nicht mehr.
  2. Hüpfende Air Gaps. Flame gehörte zu den ersten Schadprogrammen, die einen Mechanismus zur Umgehung von Air Gaps durch die Benutzung von USB-Sticks einführte. Wenn ein USB-Stick mit einem mit Flame infizierten Computer ohne Verbindung zum Internet verbunden wurde, speicherte die Schadsoftware die gestohlenen Information auf einer verborgenen Datei auf dem Stick. Diese Datei war für die meisten Datei-Explorer unsichtbar und enthielt bis zu 16MB gestohlener Dokumente und anderer Informationen von dem Opferrechner. Wurde so ein Stick in einen mit Flame infizierten Computer gesteckt, der mit dem Internet verbunden war, so wurden die verborgenen Informationen vom Stick gezogen und an die C&Cs gesendet.
  3. Dutzende von C&Cs. Im Fall von Flame zählten wir schließlich fast 100 unterschiedliche Command und Control-Server. Für eine zielgerichtete Malware ist das sehr ungewöhnlich und eine sehr große Zahl. Die Autoren von Flame schufen verschiedene Versionen der Schadsoftware, die sich mit vielen C&Cs verbanden, um so die potentiellen Auswirkungen einer Beschlagnahme zu begrenzen.
  4. Übernahme von Bluetooth Audio. Eins der Flame-Module versuchte, Bluetooth-Geräte in der Nachbarschaft des infizierten Computers zu identifizieren, um sie dazu zu benutzen, Geräusche aus dem Raum aufzunehmen. Das ist ein sehr seltener Angriffstyp, der erstmals von Flame eingesetzt wurde.
  5. Zeitalter der Massenüberwachung. Wir meinen, dass der Hauptzweck von Flame in der Durchführung von Massenüberwachung lag. Die Schadsoftware wurde entwickelt, um automatisch alles nur Erdenkliche von infizierten Rechnern zu sammeln – von Dokumenten und Screenshots über Tastatureingaben bis zu Audio-Aufnahmen. Die C&C-Server von Flame enthielten keine Option für manuellen Betrieb, alles lief automatisiert ab.
  6. MD5 ist tot. Eine der interessantesten Funktionen von Flame war die Art und Weise, wie die Malware andere Computer im lokalen Netzwerk infizierte. Die Attacke schloss das nahezu magische Re-Engineering eines Zertifikats ein, das benutzt werden kann, um Windows-Updates zu signieren. Dieses Zertifikat basierte auf einer MD5-Signatur, die die Angreifer erfolgreich fälschten, was darauf hinweist, dass sie die Möglichkeit hatten, willkürliche MD5-Hashes zu knacken.
  7. Untergraben des Vertrauens in Windows-Updates. Eins der interessantesten Flame-Module macht das, was eigentlich als „Gottesmodus“-Exploit beschrieben werden kann, und zwar sabotiert es Windows-Updates durch das Abfangen der Update-Anfragen. Jahrelang haben wir den Leuten gesagt, sie müssen wann immer möglich Windows aktualisieren, ebenso wie die Software von Drittanbietern. Flame hat sich das Vertrauen zunutze gemacht, das die Menschen in Updates hatten, und dieses wirkungsvoll untergraben.
  8. Die Spitze des Eisbergs. Nachdem wir Flame entdeckt hatten, reagierte unsere Generic Detection auch auf andere Samples. Aufgrund der Ähnlichkeit des Codes fanden wir zwei weitere Schadprogramme aus derselben Gruppe: Gauss und MiniFlame. Dadurch wurde uns klar, dass es viele andere unentdeckte Schadprogramme gibt und es möglicherweise Jahre dauert, sie zu alle finden.
  9. Alles hängt zusammen. Als wir Flame entdeckten, fragten die meisten Leute: “Hat es mit Stuxnet zu tun?”. Wir entgegneten: “Nein, dafür gibt es keine Anzeichen. Wir lagen falsch. Wochen später fanden wir ein Flame-Modul, das auch von der Stuxnet-Version aus dem Jahr 2009 zur Vervielfältigung benutzt wurde. Im Grunde wurde die 2009er-Version von Stuxnet eigens so konstruiert, dass sie sich mit einem Exploit von Flame reproduzieren kann. Das deutet darauf hin, dass diese zwei tatsächlich miteinander verbunden waren. Gleichzeitig hing Stuxnet mit Duqu zusammen und – wie wir erst kürzlich herausgefunden haben – auch mit der Equation group, und zwar über ihre Exploits, die ursprünglich vom Wurm Fanny benutzt worden waren. Manchmal dauerte es etwas länger, alle Verbindungen zu erkennen, auch wenn sie anfangs nicht besonders offensichtlich sind.
  10. “Flame ist lahm”. Als Kaspersky und CrySyS Lab die gemeinsame Analyse von Flame veröffentlichten, taten einige Leute die Malware als uninteressant ab. “Ein Schadprogramm von 20 Megabytes kann doch nichts sein! Unmöglich!”. (Die Zweifler verstummten, nachdem die Attacken auf die Microsoft Windows Updates und die MD5-Kollision aufgedeckt und gepatcht worden waren). Mikko Hypponen von F-Secure hat zu diesem Thema einen wundervollen Beitrag geschrieben: https://www.f-secure.com/weblog/archives/00002383.html

Wir möchten mit der Aufnahme einer phantastischen Rede des Bürgerrechtlers Chris Soghoian schließen, die den Titel trägt: “Lessons from the Bin Laden Raid and Cyberwar: Immunizations and Security Updates”.

https://archive.org/details/ChrisSoghoian-LessonsFromTheBinLadenRaidAndCyberwarImmunizations

Seine Ausführungen zu Flame beginnen bei 5:00, doch wir empfehlen Ihnen, den ganzen Clip anzuschauen. Chris bringt es in der Aufnahme auf den Punkt: “Trotz des kurzfristigen geheimdienstlichen Vorteils des Hackens von Software-Updates ist es es doch nicht wert“. Wir pflichten ihm bei und ergänzen, dass das Unterwandern der Sicherheit immer nach hinten losgeht.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.