Die als Flame bezeichnete Malware verfügt über zahlreiche Funktionen, die sie auf den ersten Blick als einen der raffiniertesten Schädlinge erscheinen lässt, die je entdeckt wurden. Was die Komplexität angeht... da gibt es Interpretationsspielraum. Die Malware greift weder auf Verschleierungstechniken zurück, um ihren Code zu tarnen, noch weist sie ein gänzlich neues Malware-Verhalten auf.
Flame unterscheidet sich zwar im Hinblick auf Dateigröße und Komplexität und verfügt über zahlreiche Möglichkeiten, aber keine dieser Möglichkeiten ist bahnbrechend oder neu, denn alle diese Funktionen sind uns bereits bekannt. Darüber hinaus ist sehr schwer zu ermitteln, wie viele Computer bereits infiziert wurden und es immer noch sind. Fakt ist: Wir werden es nie genau wissen, da sich Flame von einem infizierten Rechner selbst effizient löschen kann.
Nach der Analyse der Malware, konnten wir einige Ergebnisse des CrySyS Lab (Technische und Wirtschaftswissenschaftliche Universität Budapest, Ungarn) und der Kaspersky Labs bestätigen.
Die meisten Presseveröffentlichungen berichteten von einem neu erkannten Toolkit. Sie bezeichneten es als "komplexesten/raffiniertesten" Schädling in der Geschichte der Malware-Industrie. Aufgrund der folgenden Leistungsmerkmale ist die Malware tatsächlich vielseitig einsetzbar:
In der Hauptdatei mssecmgr.ocx sind Debug-Informationen eingebettet, die die Analyse ein wenig erleichtern. Es werden keine Verschleierungs- oder Packing-Techniken eingesetzt, um den Schadcode zu tarnen. Gleichwohl ist Flame zu groß, um kurzfristig vollständig analysiert zu werden.
Da das Hauptziel dieser Malware darin besteht, auf vielfältige Weise Daten zu stehlen, müssen die Sicherheitsexperten ermitteln, wohin die gesammelten und gespeicherten Daten gesendet werden.
Wer steckt hinter diesem Angriff? Was sind die wahren Absichten und welche Art von geheimen Daten wird zu welchen Zwecken gesammelt? Wurde die Malware entwickelt, um staatliche Institutionen, Konzerne oder die Privatwirtschaft auszuspionieren? Das ist bislang noch nicht eindeutig geklärt. Die von uns analysierte Malware verfügt über eine umfangreiche Funktionalität, die gegen eine bestimmte Organisation als Cyber-Waffe eingesetzt wurde oder eingesetzt werden kann, um einen gezielten Angriff durchzuführen. Höchstwahrscheinlich wurde sie entwickelt, um ausgewählte Computer/Organisationen, insbesondere staatliche Organisationen, auszuspähen.
Ein anderer Aspekt, den es in den nächsten Monaten zu verfolgen gilt: Werden die Angreifer und Code-Programmierer die Arbeit an Flame einstellen oder werden sie ihr Projekt fortsetzen und die Malware in Bezug auf die jüngsten Entdeckungen verbessern?
Deshalb werden auch wir die Situation weiter im Auge behalten!