Cyber-Attacken auf Iran liefen über die Schweiz

Wer belauscht den Iran? Diese Frage stellen sich Virenanalysten und die iranischen Behörden seit Monaten. Zwar konnten die Urheber der Angriffe auf Finanzdienstleister, Botschaften oder Versorgungsunternehmen noch immer nicht ermittelt werden. Immerhin ist nun klar, welche Länder, beziehungsweise Städte als Server-Standorte gedient haben. Pikant: Neben Hongkong, Vietnam, der Türkei, Deutschland und England sind die Cyber-Angriffe mit dem Schadprogramm Flame ausgerechnet über die neutrale Schweiz gelaufen.

Die Melde- und -Analysestelle für Informationssicherung des Bundes Melani bestätigt, dass Teile der Kontrollinfrastruktur des Schadprogramms in der Schweiz registriert waren. «Wir haben sofort reagiert und den betroffenen Server in Zusammenarbeit mit dem Provider vom Netz genommen», sagt Max Klaus, Stellvertretender Leiter von Melani gegenüber der «SonntagsZeitung». Die zuständigen Behörden seien informiert worden. «Weitere Abklärungen dazu sind im Gange», sagt Klaus. Zum Zeitpunkt der Abschaltung und dem Standort des Servers macht Klaus keine Angaben.

Gemäss Kaspersky Lab liefen die Angriffe über einen sogenannten C&C Server. Diese Art von Server nimmt in der Steuerung eines Schadprogramm eine zentrale Funktion ein: Er sendet Updates an die Ableger des Spionageprogramms und speichert die erbeuteten Daten. Im Fall von Flame waren diese verschlüsselt, sodass nur die Flame-Entwickler sie decodieren konnten. Wie Marco Preuss, Virenanalyst bei Kapersky gegenüber der «SonntagsZeitung» sagt, wurden für Flame Server unter falschen Angaben angemietet.

Das Flame-Programm wurde Ende Mai von Kapersky Lab entdeckt. Das Programm soll als Waffe im Kampf gegen das Atomprogramm der Mullahs dienen – entwickelt, um iranische Systeme auszuspionieren. Experten ordnen die Attacken israelischen und amerikanischen Geheimdienstkreisen zu.