Mit im Team waren Mitarbeiter vom
CERT, des Bundesamts für Sicherheit in der Informationstechnik (BSI),
IMPACT, sowie die Antivirensoftware-Hersteller Kaspersky Lab und Symantec. Bei der Analyse entdeckten die Sicherheitsexperten offenbar gleich noch mehrere Kontroll- und Kommandoserver, die den Spionage-Trojaner Flame gesteuert haben. Diese tarnten sich als CMS-Server (Content Management System). Laut Inhalt der Kommunikationsprotokolle steuerten die Server vier verschiedene Client-Typen mit den Code-Namen FL, also dem Trojaner Flame sowie IP, SP, SPE. Anscheinend handelt es sich bei den drei Letzteren um bislang unbekannte Varianten von Flame. SPE ist nach Erkenntnissen der Experten sogar noch aktiv im Einsatz. Es gibt außerdem Hinweise darauf, dass zur Zeit der Entdeckung von Flame noch ein fünfter Trojaner entwickelt aber nicht fertiggestellt wurde.
Weiter stießen die Sicherheitsexperten auf eine unscheinbare Konfiguration aus OpenSource-Komponenten. Bei dem Betriebssystem handelt es sich um ein per OpenVZ virtualisiertes Debian 6. Der Code besteht vor allem aus PHP und Python und kommuniziert mit einer MySQL-Datenbank. Die Server selbst wurden über die Ports 443 und 8080 per HTTPS kontaktiert und liefen mit Apache 2.x. Geschützt war er durch ein zehnstelliges ungesalzenes Kennwort. Das entsprechende Hash befand sich in einer lokalen MySQL-Datenbank.
Die Oberfläche sieht nach Angaben von Kaspersky völlig unauffällig aus und könnte auch von
Skript-Kiddies stammen. Die Fernsteuerung der von Flame infizierten Rechner funktioniert ziemlich ungewöhnlich über tar.gz-Archive, die die Angreifer an den Kontrollserver schickten. Dort werden die ausgelesenen Inhalte automatisch entpackt und weitere Anweisungen ausgeführt. Dieses Verfahren ermöglicht es den Angreifern, alle infizierten Systeme gleichzeitig oder auch einzeln aus der Ferne zu steuern.
Sämtliche Daten, die Trojaner an die Kontrollserver sendeten, wurden dort per Public-Key-Verfahren lokal verschlüsselt. Der bisher untersuchte Server leitete allein in einer Woche 5,5 Gbyte gestohlene Daten mit mehr als 5000 IP-Adressen an die Angreifer weiter. Davon stammten über 3700 aus dem allein aus dem Iran. 1280 weitere Netzadressen kamen aus dem Sudan. Nach Schätzungen der Experten befindet sich Flame auf mehr als 10.000 Rechnern.
Die
Untersuchung förderten auch vier Codenamen von Entwicklern zutage. Die Handschrift weist offenbar auf einen typischen Windows-Hintergrund hin. Die Entwickler des Kontrollservers müssen allerdings auch den Umgang mit Red-Hat-Distributionen gewohnt sein. Das wiederum zeigt die Nähe zum Kontrollcenter von Duqu, der auf CentOS basierte. CentOS ist einem Abkömmling von Red Hat Linux. Flame selbst trug bei der Entdeckung eine
gültige Signatur von Microsoft. Infiziert wurden die Rechner durch ein gefälschtes Windows-Update.
Eine weitere Erkenntnis ist ebenso wenig beruhigend. Offenbar wurde Flame bereits seit 2006 unentdeckt für Spionage insbesondere im Nahen Osten eingesetzt. Kaspersky Lab geht aufgrund der Komplexität weiter davon aus, dass Flame einen staatlichen Hintergrund hat. In Verdacht stehen weiter die USA und Israel.