Kaspersky confirmă existenţa unei legături între creatorii Stuxnet şi Flame

11 iunie 2012, 17:39 de CAPITAL

Ultima modificare în 11 iunie 2012, 20:39

Experţii Kaspersky Lab, în urma unei analize de profunzime a programelor Flame, respectiv Duqu/Stuxnet, dezvăluie că echipele responsabile pentru crearea acestor ameninţări informatice au colaborat cel puţin o dată în timpul etapei de dezvoltare.

Descoperirea lui Flame în luna mai a acestui an a dezvăluit cea mai complexă armă cibernetică existentă până acum. Iniţial, nu existau dovezi solide care să ateste faptul că Flame a fost creat de aceeaşi echipă responsabilă de apariţia Stuxnet şi Duqu. Abordările Flame, respectiv Duqu/Stuxnet erau diferite, aspect care a dus la concluzia că aceste proiecte au fost realizate de grupări separate.

Kaspersky Lab a descoperit că „Resource 207”, un modul al versiunii 2009 a viermelui Stuxnet, era, de fapt, un plugin de Flame.

Viermele Stuxnet a fost prima armă cibernetică ce ţintea obiective industriale. Faptul că acesta infecta şi sisteme PC obişnuite din întreaga lume a dus la identificarea sa în iunie 2010, cu toate că cea mai veche versiune Stuxnet era datată cu un an în urmă. Următorul exemplu de armă cibernetică a fost Duqu, descoperit în septembrie 2011. Spre deosebire de Stuxnet, principalul scop al troianului Duqu era să acţioneze ca un backdoor pe sistemul infectat şi să fure informaţii confidenţiale (spionaj cibernetic).

În timpul analizei Duqu au fost descoperite similitudini cu viermele Stuxnet, care au dezvăluit faptul că cele două arme cibernetice au fost create folosind aceeaşi platformă de atac, cunoscută sub numele de „Tilded Platform”. Virusul Flame, descoperit în luna mai 2012 în urma investigaţiei conduse de Kaspersky Lab şi iniţiate la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), era, la prima vedere, complet diferit. O serie de caracteristici, precum mărimea malware-ului, utilizarea limbajului de programare Lua şi funcţionalităţile variate nu indicau nicio conexiune cu Duqu sau Stuxnet. Însă, ultimele descoperiri rescriu istoria Stuxnet şi demonstrează, fără niciun fel de îndoială, că platforma „Tilded” este conectată cu platforma Flame.

Noile descoperiri

O versiune mai veche de Stuxnet, despre care se presupune că a fost creată în iunie 2009, conţine un modul special, numit „Resource 207”. În versiunea din 2010 a viermelui Stuxnet, acest modul a fost complet înlăturat. „Resource 207” este un modul criptat, şi conţine un executabil cu numele „atmpsvcn.ocx”, cu o mărime de 351.768 bytes. Acest fişier, scos acum la lumină de investigaţia Kaspersky Lab, are foarte multe lucruri în comun cu Flame. Printre similitudini se numără numele unor componente, algoritmul folosit pentru decriptarea sirurilor de caractere şi abordările similare de numire a fişierelor.

În plus, majoritatea secţiunilor de cod din modulele Stuxnet şi Flame par a fi identice sau asemănătoare, detaliu care duce la concluzia că „schimburile” dintre echipele care au creat cele două arme cibernetice s-au făcut direct la nivel de cod sursă. Funcţionalitatea primară a modulului „Resource 207” din Stuxnet era distribuirea infecţiei de la un computer la altul, prin folosirea dispozitivelor USB şi exploatarea unei vulnerabilităţi din kernel-ul Windows, pentru a obţine escaladarea privilegiilor pe sistemul infectat. Codul responsabil pentru distribuirea de malware prin dispozitivle USB este complet identic cu cel folosit în Flame.