Badanie przeprowadzone przez Kaspersky Lab ujawnia zwi膮zki mi臋dzy tw贸rcami Stuxneta i Flame

Wraz z wykryciem Flame'a w maju 2012 r. 艣wiat dowiedzia艂 si臋 o najbardziej z艂o偶onej cyberbroni, jaka kiedykolwiek istnia艂a. W momencie zidentyfikowania tego szkodliwego oprogramowania nie by艂o mocnych dowod贸w 艣wiadcz膮cych o tym, 偶e by艂 on wynikiem pracy tego samego zespo艂u, kt贸ry odpowiada za Stuxneta i Duqu. R贸wnie偶 podej艣cie do tworzenia Flame'a i Duqu/Stuxneta by艂o r贸偶ne, co pozwala艂o s膮dzi膰, 偶e za tymi projektami sta艂y dwa niezale偶ne zespo艂y. Jednak najnowsze badanie przeprowadzone przez ekspert贸w z Kaspersky Lab pokazuje, 偶e oba zespo艂y wsp贸艂pracowa艂y ze sob膮 przynajmniej na wczesnych etapach rozwoju tych szkodliwych program贸w.

Najwa偶niejsze fakty w skr贸cie - Eksperci z Kaspersky Lab odkryli, 偶e modu艂 wchodz膮cy w sk艂ad wczesnej wersji Stuxneta z 2009 r., znany jako "Resource 207", w rzeczywisto艣ci by艂 wtyczk膮 do Flame'a. - To oznacza, 偶e gdy robak Stuxnet zosta艂 stworzony na pocz膮tku 2009 r., platforma Flame ju偶 istnia艂a, a w 2009 r. 藕r贸d艂o kodu co najmniej jednego modu艂u Flame'a zosta艂o wykorzystane w Stuxnecie. - Modu艂 ten s艂u偶y艂 do rozprzestrzeniania infekcji za po艣rednictwem urz膮dze艅 USB. Kod mechanizmu infekcji przy pomocy urz膮dzenia USB jest identyczny z kodem Flame'a i Stuxneta. - Modu艂 Flame'a w Stuxnecie wykorzystywa艂 r贸wnie偶 luk臋 w zabezpieczeniach, kt贸ra nie by艂a znana w tym czasie i umo偶liwia艂a zwi臋kszenie przywilej贸w w atakowanym systemie (prawdopodobnie by艂a to luka MS09-025). - Nast臋pnie, w 2010 r. modu艂 wtyczki do Flame'a zosta艂 usuni臋ty ze Stuxneta i zast膮piony kilkoma innymi komponentami, kt贸re wykorzystywa艂y nowe luki. - Od 2010 r. te dwa zespo艂y tw贸rc贸w szkodliwego oprogramowania dzia艂a艂y niezale偶nie, a jedyny obszar wsp贸艂pracy dotyczy艂 wymiany wiedzy na temat nowych luk "zero-day".

T艂o historyczne

Stuxnet by艂 pierwsz膮 cyberbroni膮 atakuj膮c膮 obiekty przemys艂owe. W wyniku tego, 偶e Stuxnet infekowa艂 r贸wnie偶 komputery PC zwyk艂ych u偶ytkownik贸w na ca艂ym 艣wiecie, zosta艂 wykryty w czerwcu 2010 r., mimo 偶e najwcze艣niejsza znana wersja tego szkodliwego oprogramowania zosta艂a stworzona rok wcze艣niej. Kolejny przyk艂ad cyberbroni, znany jako Duqu, zosta艂 wykryty we wrze艣niu 2011 r. W przeciwie艅stwie do Stuxneta, trojan Duqu pe艂ni艂 g艂贸wnie funkcj臋 "tylnych drzwi" do zainfekowanego systemu i krad艂 prywatne informacje (cyberszpiegostwo).

Podczas analizy Duqu odkryto wyra藕ne podobie艅stwa mi臋dzy tym szkodnikiem a Stuxnetem, kt贸re 艣wiadcz膮 o tym, 偶e te dwie cyberbronie zosta艂y stworzone przy u偶yciu tej samej platformy atak贸w o nazwie "Tilded". Flame, kt贸ry zosta艂 wykryty w maju 2012 r. przez Kaspersky Lab podczas analizy podejrzanego kodu przeprowadzonej na pro艣b臋 Mi臋dzynarodowego Zwi膮zku Telekomunikacyjnego (ITU), na pierwszy rzut oka wydawa艂 si臋 ca艂kowicie odmiennym programem. Niekt贸re jego cechy, takie jak rozmiar szkodliwego oprogramowania, wykorzystanie j臋zyka programowania LUA oraz r贸偶norodna funkcjonalno艣膰, sugerowa艂y, 偶e Flame nie mia艂 nic wsp贸lnego z tw贸rcami Duqu czy Stuxneta. Jednak nowe fakty ca艂kowicie zmieni艂y histori臋 Stuxneta i dowiod艂y ponad wszelk膮 w膮tpliwo艣膰, 偶e istniej膮 zwi膮zki mi臋dzy platform膮 "Tilded" a platform膮 Flame'a.

Nowe ustalenia

Najwcze艣niejsza znana wersja Stuxneta, stworzona prawdopodobnie w czerwcu 2009 r., zawiera specjalny modu艂 o nazwie "Resource 207". W kolejnej wersji Stuxneta z 2010 r. modu艂 ten zosta艂 ca艂kowicie usuni臋ty. Modu艂 "Resource 207" to zaszyfrowany plik DLL, kt贸ry zawiera plik wykonalny o rozmiarze 351 768 bajt贸w o nazwie "atmpsvcn.ocx". Plik ten, jak wykaza艂o badanie Kaspersky Lab, ma wiele wsp贸lnego z kodem wykorzystanym we Flamie. Lista uderzaj膮cych podobie艅stw obejmuje nazwy wzajemnie wykluczaj膮cych si臋 obiekt贸w, algorytm s艂u偶膮cy do deszyfracji oraz podobne podej艣cia do nazewnictwa plik贸w.

Ponadto, wi臋kszo艣膰 sekcji kodu w odpowiednich modu艂ach Stuxneta i Flame'a wydaje si臋 by膰 identyczna lub podobna, na podstawie czego mo偶na wnioskowa膰, 偶e wsp贸艂praca mi臋dzy zespo艂ami odpowiedzialnymi za Flame'a i Duqu/Stuxneta mia艂a form臋 wymiany kodu 藕r贸d艂owego (nie binarnego). G艂贸wna funkcjonalno艣膰 modu艂u "Resource 207" Stuxneta obejmowa艂a przenoszenie infekcji z jednej maszyny na drug膮 przy u偶yciu wymiennych urz膮dze艅 USB oraz z wykorzystaniem luki w zabezpieczeniu j膮dra Windowsa umo偶liwiaj膮cej zwi臋kszenie przywilej贸w w systemie. Kod odpowiedzialny za dystrybucj臋 szkodliwego oprogramowania za po艣rednictwem urz膮dze艅 USB jest identyczny jak ten wykorzystany w robaku Flame.

Aleksander Gostiew, g艂贸wny ekspert ds. bezpiecze艅stwa w Kaspersky Lab, powiedzia艂: "Niezale偶nie od nowych fakt贸w jeste艣my przekonani, 偶e Flame i Tilded to ca艂kowicie r贸偶ne platformy, wykorzystywane do rozwoju wielu cyberbroni. Ka偶da z nich ma inn膮 architektur臋 i wykorzystuje unikatowe sztuczki do infekowania system贸w i realizowania podstawowych zada艅. By艂y to bez w膮tpienia oddzielne i niezale偶ne od siebie projekty. Jednak nowe ustalenia, zgodnie z kt贸rymi oba zespo艂y wsp贸艂dzieli艂y kod 藕r贸d艂owy co najmniej jednego modu艂u na wczesnych etapach rozwoju szkodnik贸w, potwierdzaj膮, 偶e obie grupy wsp贸艂pracowa艂y ze sob膮 przynajmniej jeden raz. Odkryli艣my bardzo mocny dow贸d istnienia zwi膮zk贸w mi臋dzy cyberbroni膮 Stuxnet/Duqu a Flame".

Dalsze szczeg贸艂y dotycz膮ce wspomnianego badania zawiera artyku艂 dost臋pny w Encyklopedii Wirus贸w VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=797.

殴ród艂o:
Kaspersky Lab