Die Bluetooth-Funktionalität von Flame könnte Spionen helfen, Daten lokal zu extrahieren, sagen Forscher

Die Bluetooth-Funktion der Cyberspionage-Malware von Flame kann möglicherweise dazu verwendet werden, den physischen Standort infizierter Geräte ausfindig zu machen und lokalen Angreifern die Möglichkeit zu geben, Daten zu extrahieren, wenn sie sich in der Nähe der Opfer befinden Laut den Sicherheitsforschern der Antivirus-Hersteller Symantec und Kaspersky Lab.

Flame kann die Bluetooth-Fähigkeit eines infizierten Computers nutzen, um nach anderen in der Nähe befindlichen Bluetooth-fähigen Geräten wie Mobiltelefonen zu suchen .

Diese Funktionalität ist in einem Flame-Modul namens BeetleJuice, Sicherheitsforscher fr vorhanden om Symantec sagte in einem Blog-Post am Donnerstag. Msgstr "" "Wenn ein Gerät gefunden wird, wird dessen Status abgefragt und die Details des Geräts einschließlich seiner ID werden vermutlich irgendwann an den Angreifer hochgeladen."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Computer Windows PC]

Diese Informationen könnten verwendet werden, um die sozialen und beruflichen Kreise von Opfern im Zeitverlauf zu bestimmen, indem sie herausfinden, welche Bluetooth-Geräte ihre Computer regelmäßig erkennen, sagten die Symantec-Forscher.

Auch flammeninfizierte Computer können fungieren als Bluetooth-Beacons, sodass andere Bluetooth-Geräte sie erkennen können. Wenn sie als Beacons agieren, geben die infizierten Computer an, dass sie die Flame-Malware über ein spezielles Beschreibungsfeld installiert haben.

Diese Funktion könnte lokalen Angreifern helfen, Flame-infizierte Computer in einem Gebäude physisch zu lokalisieren, um daraus direkt Informationen zu extrahieren Wenn diese Informationen aus irgendeinem Grund nicht über das Netzwerk erhalten werden können, sagte Vitaly Kamluk, Chef-Malware-Experte von Kaspersky Lab, am Dienstag.

Es könnte sogar eine Flame-Funktion geben, die eine solche Datenextraktion über Bluetooth ermöglicht. Aber es wurde noch kein technischer Beweis für diese Funktionalität gefunden, sagte Kamluk. Ein solcher Angriff hätte den Vorteil, Firewalls und Sicherheitskontrollen auf Netzwerkebene zu umgehen, sagten die Symantec-Forscher.

"Es ist möglich, dass in W32.Flamer unentdeckter Code vorhanden ist, der einige dieser Ziele bereits erreicht", so Symantec Forscher sagten. "Obwohl wir zum Beispiel keinen Netzwerkcode in der Nähe des Beacon-Codes gefunden haben, kann ein kompromittierter Computer über Bluetooth eine Verbindung zu einem anderen Computer herstellen."

Die meisten Sicherheitsforscher sind sich einig, dass Flame wahrscheinlich von einem Nationalstaat für Spionagezwecke entwickelt wurde dass seine Hauptziele Organisationen und Einzelpersonen aus dem Iran und anderen Ländern des Nahen Ostens seien.

Wenn diese Theorie richtig ist, wäre es ziemlich vernünftig anzunehmen, dass ein solcher Nationalstaat auch nachrichtendienstliche Aktivisten oder Aktivisten in diesen Regionen haben könnte, Wer könnte physisch nah an den Opfern sein, um mit ihren Flammen-infizierten Laptops über Bluetooth zu interagieren.

Es gibt Präzedenzfälle für die Beteiligung von Nationalstaaten an Malware-Angriffen auf Länder des Nahen Ostens. In einem Bericht der New York Times vom Freitag hieß es, US-Präsident Barack Obama habe die Stuxnet-Cyberangriffe auf den Iran angeordnet, um das Nuklearprogramm des Landes zu beschädigen.

Manche Bluetooth-Angriffe erfordern nicht einmal die Nähe zum Ziel. Auf der Defcon-Hacker-Konferenz 2004 zeigten die Forscher ein Gerät, das wie ein Scharfschützengewehr funktioniert und mit Bluetooth-fähigen Mobiltelefonen aus mehr als einem Kilometer Entfernung verbunden werden kann.

Eine weitere Verwendung der Bluetooth-Funktionalität in Flame könnte das Abhören sein auf private Gespräche, sagten die Symantec-Forscher. "Schließen Sie einen kompromittierten Computer an ein Gerät in der Nähe an und aktivieren Sie die Freisprechkommunikation. Wenn das Gerät in einen Besprechungsraum gebracht oder zum Telefonieren verwendet wird, können die Angreifer mithören."

Alle diese Theorien beschreiben praktische Angriffe, die gut in die Fähigkeiten von erfahrenen Angreifern passen würden, wie diejenigen, die Flame geschaffen haben, sagten die Symantec-Forscher. "W32.Flamer ist möglicherweise die einzige Windows-basierte Bedrohung, die wir verwendet haben, die Bluetooth verwendet."