Stuxnet a Flame mají stejného autora, tvrdí Kaspersky

13. 6. 2012

Sdílet

Týmy, které vytvořily známé kódy kradoucí citlivá data, spolu v počáteční fázi vývoje minimálně jednou spolupracovaly. A Kaspersky prý má pro toto tvrzení důkazy.

V době objevení malwaru Flame nebyly žádné důkazy o tom, že by Flame pocházel z dílny stejného týmu jako Stuxnet a Duqu. I přístup k vývoji Flame a Duqu se lišil, což vedlo k závěru, že za těmito projekty stojí odlišné týmy.

Podle odborníků Kaspersky Lab je ale modul z verze Stuxnetu z počátku roku 2009, známý jako „Resource 207“ (Zdroj 207) ve skutečnosti pluginem malwaru Flame. Platforma Flame tak existovala už v průběhu roku 2009. Zdroj 207 byl použit na šíření infekce přes USB porty.

Kód mechanismu USB infekce je totiž identický u Flamu i Stuxnetu. Plugin Flame byl v roce 2010 ze Stuxnetu odstraněn a nahrazen několika odlišnými moduly, které využívaly nových zranitelností. Od roku 2010 pracovaly týmy nezávisle a jediná možná spolupráce se mohla týkat výměny know-how o zranitelných místech.

bitcoin_skoleni

Zdroj 207 je šifrovaný soubor DLL, jenž obsahuje exe soubor velikosti 351 768 bytů s názvem „atmpsvcn.ocx”. Seznam nápadných podobností zahrnuje jména vzájemně se vylučujících objektů, algoritmů používaných k šifrování strings a podobný přístup k pojmenovávání souborů. Výměna informací mezi autorskými týmy Flame a Duqu/Stuxnet tak probíhala formou zdrojového kódu a nikoli binární formou.

„Navzdory nově zjištěným skutečnostem jsme přesvědčeni, že Flame a Tilded jsou zcela odlišné platformy použité k vývoji různých kybernetických zbraní. Mají odlišné architektury s vlastními triky používanými k infekci systémů a vykonávání primárních úkolů. Projekty byly skutečně odlišné a vzájemně nezávislé. Nicméně nová zjištění ukazují, že týmy si v rané fázi vývoje vyměnily alespoň jeden modul a tudíž minimálně jednou spolupracovaly. Máme tak v ruce velice silný důkaz o tom, že kybernetické zbraně Stuxnet/Duqu a Flame jsou propojeny,“ uvedl Alexandr Gostev, Chief Security Expert společnosti Kasperky Lab.