Kaspersky Lab: Stuxnet i Flame su ipak povezani

Vesti, 12.06.2012, 09:25 AM

Kaspersky Lab: Stuxnet i Flame su ipak povezani

U maju ove godine, objavljeno je da je virus Flame najsloženije sajber oružje današnjice. U momentu kada je otkriveno nisu postojali čvrsti dokazi da su Flame stvorili isti oni koji su stvorili viruse Stuxnet i Duqu. Budući da je na različite načine posmatran razvoj virusa Flame i Duqu/Stuxnet, smatrano je da su ove viruse kreirali različiti timovi. Kako god, eksperti kompanije Kaspersky Lab uradili su detaljnije istraživanje i ustanovili da su pomenute viruse stvorili timovi koji su sigurno bar jednom sarađivali na početku njihovog razvoja.

Evo nekih činjenica koje govore u prilog toj tezi:

  • Kompanija Kaspersky Lab je otkrila da je verzija virusa Stuxnet od 2009. godine, poznatija kao „Resource 207“, u stvari bio Flame plugin.

  • To znači da kada je virus Stuxnet stvoren početkom 2009. godine, platforma za Flame je već postojala i izvorni kod bar jednog modula programa Flame, korišćen je u programu Stuxnet.

  • Ovaj modul je korišćen da širi infekciju pomoću USB drajva. Kod mehanizma infekcije USB diskom identičan je za Flame i Stuxnet.

  • Modul Flame u programu Stuxnet takođe je iskoristio ranjivost koja je bila nepoznata do tada i omogućila je eskalaciju privilegija, verovatno MS09-025.

  • Zatim, plugin modul programa Flame otklonjen je iz programa Stuxnet 2010. i zamenjen je sa nekoliko drugačijih modula koji su koristili nove ranjivosti.

  • Početkom 2010, dva tima su radila nezavisno, pod sumnjom da su jedino razmenjivali informacije o novim ranjivostima „zero-day”.

Opis

Stuxnet je bilo prvo sajber oružje usmereno na industrijska postrojenja. Virus Stuxnet je takođe inficirao i kompjutere običnih korisnika širom sveta i tako je otkriven u junu 2010, iako je najranija verzija ovog štetnog programa stvorena godinu dana pre toga. Sledeći primer sajber oružija, danas poznatog kao Duqu, otkriven je u septembru 2011. Drugačiji od virusa Stuxnet, glavni zadatak virusa Duqu Trojan bio je da prikrije infekciju sistema i da ukrade privatne informacije (sajber špijunaža).

Tokom analize virusa Duqu, pronađene su sličnosti sa virusom Stuxnet, i otkriveno je da su dva sajber oružja stvorena na istoj platformi poznatoj kao „TildedPlatform”. Tvorci štetnog softvera su izabrali to ime od oblika „~d*.*” - odatle, „Tilde-d”. Virus Flame, kojeg su u maju 2012. otkrili Međunarodna unija za telekomunikacije (ITU) i kompanija Kaspersky Lab, bio je na prvi pogled skroz drugačiji. Neke karakteristike, kao što su veličina štetnog programa, upotreba programskog jezika LUI i različita funkcionalnost, išle su u prilog tome da tvorac virusa Flame nije povezan sa tvorcima virusa Duqu ili Stuxnet. Kako god, nova otkrića pokazuju da je platforma „Tilded” povezana sa platformom virusa Flame.

Nova saznanja

Nekada poznata verzija Stuxnet, navodno nastala u junu 2009, sadrži poseban modul poznat pod imenom „Resource 207“. U narednoj verziji Stuxnet 2010, ovaj modul je potpuno uklonjen. Modul „Resource 207“ je kodiran fajlom DLL i sadrži izvršnu datoteku koja je veličine 351 768 bajtova pod imenom „atmpsvcn.ocx“. Prema saznanjima kompanije Kaspersky Lab, ovaj fajl ima mnogo toga zajedničkog sa kodom koji se koristi u programu Flame. Lista zapanjujućih sličnosti obuhvata imena međusobno isključivih objekata, algoritam koji se koristi za deskribovanje niza podataka i pristupe imenovanju fajlova.

Većina delova koda su identični ili slični u odgovarajućim modulima virusa Stuxnet ili Flame što dovodi do zaključka da je razmena između timova koji su kreirali programe Flame i Duqu/Stuxnet obavljena u vidu izvornog koda (tj. ne u binarnom obliku). Osnovna funkcionalnost Modula Stuxnet „Resource 207“ jeste prenos infekcije sa jedne komponente na drugu, pomoću prenosnih USB drajvova i uz korišćenje ranjivosti jezgra Windows-a, kako bi bila dobijena eskalacija privilegija unutar sistema. Kod koji je odgovoran za distribuciju zlonamernog softvera pomoću USB drajva potpuno je identičan onome koji je korišćen u programu Flame.

Aleksander Gostev, vodeći ekspert za bezbednost u kompaniji Kaspersky Lab, komentariše: „Uprkos novootkrivenim činjenicama, uvereni smo da su Flame i Tilded potpuno različite platforme koje su korišćene za razvoj velikog broja sajber oružja. Svaka od njih ima različite arhitekture sa jedinstvenim trikovima koji su korišćeni da se sistemi zaraze i urade primarni zadaci. Projekti su bili zasebni i nezavisni jedan od drugog. Međutim, nova saznanja koja otkrivaju kako su timovi delili izvorni kod bar jednog modula u ranim fazama razvoja, potvrđuju da su timovi sarađivali bar jednom. Otkrili smo snažan dokaz da su Stuxnet/Duqu i Flame sajber oružja povezani.“

Dodatne informacije o istrazi možete naći u članku na Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto žrtve ransomwarea ne treba da plaćaju otkup: Bolnica platila otkup i ostala bez fajlova

Zašto žrtve ransomwarea ne treba da plaćaju otkup: Bolnica platila otkup i ostala bez fajlova

Stručnjaci za bezbednost saglasni su kada je reč o tome da li žrtve ransomwarea treba da pristanu na ucenu i plate kriminalcima za dešifrovanje fa... Dalje

Uprkos rekordnom broju infekcija, korisnici još uvek ne znaju šta je ransomware

Uprkos rekordnom broju infekcija, korisnici još uvek ne znaju šta je ransomware

Iako je ransomware trenutno jedna od najraširenijih i najagresivnijih pretnji, istraživanje kompanije Kaspersky Lab (pdf) u kome je učestvovalo 500... Dalje

Microsoft zabranjuje jednostavne i često korišćene lozinke

Microsoft zabranjuje jednostavne i često korišćene lozinke

Prošle nedelje na sajtu “The Real Deal” pojavio se oglas da se prodaje baza podataka sa 167 miliona email adresa i lozinki korisnika Link... Dalje

Korisnici koji nisu ažurirali Flash Player u opasnosti, nedavno ispravljeni propust se koristi u napadima

Korisnici koji nisu ažurirali Flash Player u opasnosti, nedavno ispravljeni propust se koristi u napadima

Posle samo dve nedelje exploit za nedavno ispravljeni propust u Flash Playeru dodat je popularnim hakerskim alatima koji se koriste za infekciju raču... Dalje

FBI upozorio na lažne USB punjače koji krišom beleže kucanje na bežičnim tastaturama

FBI upozorio na lažne USB punjače koji krišom beleže kucanje na bežičnim tastaturama

Bezbednosni istraživač Semi Kamkar prošle godine je napravio jeftin uređaj koji funkcioniše kao univerzalni USB mobilni punjač, ali koji istovre... Dalje