„Resource 207”: cercetarea Kaspersky Lab confirmă existenţa unei legături între creatorii Stuxnet şi Flame
CUMPARATI |
Bucureşti, 11 iunie 2012 – Descoperirea lui Flame în luna mai a acestui an a dezvăluit cea mai complexă armă cibernetică existentă până acum. Iniţial, nu existau dovezi solide care să ateste faptul că Flame a fost creat de aceeaşi echipă responsabilă de apariţia Stuxnet şi Duqu. Abordările Flame, respectiv Duqu/Stuxnet erau diferite, aspect care a dus la concluzia că aceste proiecte au fost realizate de grupări separate. Cu toate acestea, în urma unei analize de profunzime a celor doua programe, experţii Kaspersky Lab dezvăluie că echipele responsabile pentru crearea acestor ameninţări informatice au colaborat cel puţin o dată în timpul etapei de dezvoltare.
Scurt istoric
· Kaspersky Lab a descoperit că „Resource 207”, un modul al versiunii 2009 a viermelui Stuxnet, era, de fapt, un plugin de Flame.
· Aceasta înseamnă că, în 2009, atunci când Stuxnet a fost creat, platforma Flame exista deja, iar codul sursă aparţinând cel puţin unui modul al acestuia era folosit în Stuxnet.
· Acest modul era utilizat pentru a infecta sistemele prin intermediul dispozitivelor de stocare USB. Codul folosit de mecanismul de infectare prin USB din Stuxnet este identic cu cel din Flame.
· Modulul Flame din Stuxnet exploata o vulnerabilitate (probabil MS09-025) software necunoscută la vremea respectivă, pentru a infecta calculatoarele victimelor.
· Ulterior, modulul tip Flame a fost înlăturat din Stuxnet în 2010 şi înlocuit cu alte module, care exploatau noi vulnerabilităţi software.
· Începând cu 2010, cele două echipe de dezvoltare au lucrat independent una de cealaltă, singurele perioade de cooperare presupuse fiind cele de schimb de informaţie cu privire la noile vulnerabilităţi tip „zero-day”.
Context
Viermele Stuxnet a fost prima armă cibernetică ce ţintea obiective industriale. Faptul că acesta infecta şi sisteme PC obişnuite din întreaga lume a dus la identificarea sa în iunie 2010, cu toate că cea mai veche versiune Stuxnet era datată cu un an în urmă. Următorul exemplu de armă cibernetică a fost Duqu, descoperit în septembrie 2011. Spre deosebire de Stuxnet, principalul scop al troianului Duqu era să acţioneze ca un backdoor pe sistemul infectat şi să fure informaţii confidenţiale (spionaj cibernetic).
În timpul analizei Duqu au fost descoperite similitudini cu viermele Stuxnet, care au dezvăluit faptul că cele două arme cibernetice au fost create folosind aceeaşi platformă de atac, cunoscută sub numele de „Tilded Platform”. Virusul Flame, descoperit în luna mai 2012 în urma investigaţiei conduse de Kaspersky Lab şi iniţiate la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), era, la prima vedere, complet diferit. O serie de caracteristici, precum mărimea malware-ului, utilizarea limbajului de programare Lua şi funcţionalităţile variate nu indicau nicio conexiune cu Duqu sau Stuxnet. Însă, ultimele descoperiri rescriu istoria Stuxnet şi demonstrează, fără niciun fel de îndoială, că platforma „Tilded” este conectată cu platforma Flame.
Noile descoperiri
O versiune mai veche de Stuxnet, despre care se presupune că a fost creată în iunie 2009, conţine un modul special, numit „Resource 207”. În versiunea din 2010 a viermelui Stuxnet, acest modul a fost complet înlăturat. „Resource 207” este un modul criptat, şi conţine un executabil cu numele „atmpsvcn.ocx”, cu o mărime de 351.768 bytes. Acest fişier, scos acum la lumină de investigaţia Kaspersky Lab, are foarte multe lucruri în comun cu Flame. Printre similitudini se numără numele unor componente, algoritmul folosit pentru decriptarea sirurilor de caractere şi abordările similare de numire a fişierelor.
În plus, majoritatea secţiunilor de cod din modulele Stuxnet şi Flame par a fi identice sau asemănătoare, detaliu care duce la concluzia că „schimburile” dintre echipele care au creat cele două arme cibernetice s-au făcut direct la nivel de cod sursă. Funcţionalitatea primară a modulului „Resource 207” din Stuxnet era distribuirea infecţiei de la un computer la altul, prin folosirea dispozitivelor USB şi exploatarea unei vulnerabilităţi din kernel-ul Windows, pentru a obţine escaladarea privilegiilor pe sistemul infectat. Codul responsabil pentru distribuirea de malware prin dispozitivle USB este complet identic cu cel folosit în Flame.
„În ciuda noilor descoperiri, suntem convinşi de faptul că platformele Flame şi Tilded sunt complet diferite, utilizate pentru crearea de multiple arme cibernetice.”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Fiecare platformă are o arhitectură diferită, cu propriile trucuri, folosite pentru a infecta sisteme şi a executa sarcini primare. Într-adevăr, proiectele au fost separate şi independente unul de celălalt, însă, noile descoperiri relevă că cele două echipe au împărţit codul sursă al cel puţin unui modul în timpul procesului iniţial de dezvoltare. Aşadar, au colaborat cel puţin o dată. Tot ceea ce am aflat stă drept dovadă a faptului că există o legătură între armele cibernetice Stuxnet/Duqu şi Flame”, completează Gostev.
Mai multe detalii despre analiza Kaspersky Lab se regăsesc în articolul http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link. Pentru a afla mai mult despre Flame, consultaţi şi materialul Flame FAQ.
# # #
Despre Kaspersky Lab
Kaspersky Lab este cel mai mare producător de soluţii de securitate informatică din Europa. Compania oferă unele dintre cele mai populare sisteme de securitate pentru PC, care protejează utilizatorul de viruşi, spyware, crimeware, hackeri, phishing şi spam. Kaspersky Lab este poziţionată în topul primelor patru companii producătoare de soluţii de securitate endpoint la nivel mondial. Produsele Kaspersky deţin o rată superioară de detecţie, având cel mai rapid timp de răspuns din industria de securitate pentru utilizatori individuali, SMB, reţele de mari dimensiuni şi sisteme de lucru mobile. Tehnologia dezvoltată de Kaspersky este utilizată la nivel mondial în produsele şi serviciile furnizorilor de top ai soluţiilor de securitate de pe piaţa IT.
Pentru mai multe informaţii, vizitaţi www.kaspersky.ro, iar pentru ultimele ştiri legate de malware, consultaţi www.securelist.com.