Kaspersky Lab: Stuxnet i Flame su ipak povezani

Vesti, 12.06.2012, 09:25 AM

U maju ove godine, objavljeno je da je virus Flame najsloženije sajber oružje današnjice. U momentu kada je otkriveno nisu postojali čvrsti dokazi da su Flame stvorili isti oni koji su stvorili viruse Stuxnet i Duqu. Budući da je na različite načine posmatran razvoj virusa Flame i Duqu/Stuxnet, smatrano je da su ove viruse kreirali različiti timovi. Kako god, eksperti kompanije Kaspersky Lab uradili su detaljnije istraživanje i ustanovili da su pomenute viruse stvorili timovi koji su sigurno bar jednom sarađivali na početku njihovog razvoja.

Evo nekih činjenica koje govore u prilog toj tezi:

• Kompanija Kaspersky Lab je otkrila da je verzija virusa Stuxnet od 2009. godine, poznatija kao „Resource 207“, u stvari bio Flame plugin.

• To znači da kada je virus Stuxnet stvoren početkom 2009. godine, platforma za Flame je već postojala i izvorni kod bar jednog modula programa Flame, korišćen je u programu Stuxnet.

• Ovaj modul je korišćen da širi infekciju pomoću USB drajva. Kod mehanizma infekcije USB diskom identičan je za Flame i Stuxnet.

• Modul Flame u programu Stuxnet takođe je iskoristio ranjivost koja je bila nepoznata do tada i omogućila je eskalaciju privilegija, verovatno MS09-025.

• Zatim, plugin modul programa Flame otklonjen je iz programa Stuxnet 2010. i zamenjen je sa nekoliko drugačijih modula koji su koristili nove ranjivosti.

• Početkom 2010, dva tima su radila nezavisno, pod sumnjom da su jedino razmenjivali informacije o novim ranjivostima „zero-day”.

Opis

Stuxnet je bilo prvo sajber oružje usmereno na industrijska postrojenja. Virus Stuxnet je takođe inficirao i kompjutere običnih korisnika širom sveta i tako je otkriven u junu 2010, iako je najranija verzija ovog štetnog programa stvorena godinu dana pre toga. Sledeći primer sajber oružija, danas poznatog kao Duqu, otkriven je u septembru 2011. Drugačiji od virusa Stuxnet, glavni zadatak virusa Duqu Trojan bio je da prikrije infekciju sistema i da ukrade privatne informacije (sajber špijunaža).

Tokom analize virusa Duqu, pronađene su sličnosti sa virusom Stuxnet, i otkriveno je da su dva sajber oružja stvorena na istoj platformi poznatoj kao „TildedPlatform”. Tvorci štetnog softvera su izabrali to ime od oblika „~d*.*” - odatle, „Tilde-d”. Virus Flame, kojeg su u maju 2012. otkrili Međunarodna unija za telekomunikacije (ITU) i kompanija Kaspersky Lab, bio je na prvi pogled skroz drugačiji. Neke karakteristike, kao što su veličina štetnog programa, upotreba programskog jezika LUI i različita funkcionalnost, išle su u prilog tome da tvorac virusa Flame nije povezan sa tvorcima virusa Duqu ili Stuxnet. Kako god, nova otkrića pokazuju da je platforma „Tilded” povezana sa platformom virusa Flame.

Nova saznanja

Nekada poznata verzija Stuxnet, navodno nastala u junu 2009, sadrži poseban modul poznat pod imenom „Resource 207“. U narednoj verziji Stuxnet 2010, ovaj modul je potpuno uklonjen. Modul „Resource 207“ je kodiran fajlom DLL i sadrži izvršnu datoteku koja je veličine 351 768 bajtova pod imenom „atmpsvcn.ocx“. Prema saznanjima kompanije Kaspersky Lab, ovaj fajl ima mnogo toga zajedničkog sa kodom koji se koristi u programu Flame. Lista zapanjujućih sličnosti obuhvata imena međusobno isključivih objekata, algoritam koji se koristi za deskribovanje niza podataka i pristupe imenovanju fajlova.

Većina delova koda su identični ili slični u odgovarajućim modulima virusa Stuxnet ili Flame što dovodi do zaključka da je razmena između timova koji su kreirali programe Flame i Duqu/Stuxnet obavljena u vidu izvornog koda (tj. ne u binarnom obliku). Osnovna funkcionalnost Modula Stuxnet „Resource 207“ jeste prenos infekcije sa jedne komponente na drugu, pomoću prenosnih USB drajvova i uz korišćenje ranjivosti jezgra Windows-a, kako bi bila dobijena eskalacija privilegija unutar sistema. Kod koji je odgovoran za distribuciju zlonamernog softvera pomoću USB drajva potpuno je identičan onome koji je korišćen u programu Flame.

Aleksander Gostev, vodeći ekspert za bezbednost u kompaniji Kaspersky Lab, komentariše: „Uprkos novootkrivenim činjenicama, uvereni smo da su Flame i Tilded potpuno različite platforme koje su korišćene za razvoj velikog broja sajber oružja. Svaka od njih ima različite arhitekture sa jedinstvenim trikovima koji su korišćeni da se sistemi zaraze i urade primarni zadaci. Projekti su bili zasebni i nezavisni jedan od drugog. Međutim, nova saznanja koja otkrivaju kako su timovi delili izvorni kod bar jednog modula u ranim fazama razvoja, potvrđuju da su timovi sarađivali bar jednom. Otkrili smo snažan dokaz da su Stuxnet/Duqu i Flame sajber oružja povezani.“

Dodatne informacije o istrazi možete naći u članku na Securelist.com.