Kaspersky Lab: Stuxnet i Flame su ipak povezani

Vesti, 12.06.2012, 09:25 AM

Kaspersky Lab: Stuxnet i Flame su ipak povezani

U maju ove godine, objavljeno je da je virus Flame najsloženije sajber oružje današnjice. U momentu kada je otkriveno nisu postojali čvrsti dokazi da su Flame stvorili isti oni koji su stvorili viruse Stuxnet i Duqu. Budući da je na različite načine posmatran razvoj virusa Flame i Duqu/Stuxnet, smatrano je da su ove viruse kreirali različiti timovi. Kako god, eksperti kompanije Kaspersky Lab uradili su detaljnije istraživanje i ustanovili da su pomenute viruse stvorili timovi koji su sigurno bar jednom sarađivali na početku njihovog razvoja.

Evo nekih činjenica koje govore u prilog toj tezi:

  • Kompanija Kaspersky Lab je otkrila da je verzija virusa Stuxnet od 2009. godine, poznatija kao „Resource 207“, u stvari bio Flame plugin.

  • To znači da kada je virus Stuxnet stvoren početkom 2009. godine, platforma za Flame je već postojala i izvorni kod bar jednog modula programa Flame, korišćen je u programu Stuxnet.

  • Ovaj modul je korišćen da širi infekciju pomoću USB drajva. Kod mehanizma infekcije USB diskom identičan je za Flame i Stuxnet.

  • Modul Flame u programu Stuxnet takođe je iskoristio ranjivost koja je bila nepoznata do tada i omogućila je eskalaciju privilegija, verovatno MS09-025.

  • Zatim, plugin modul programa Flame otklonjen je iz programa Stuxnet 2010. i zamenjen je sa nekoliko drugačijih modula koji su koristili nove ranjivosti.

  • Početkom 2010, dva tima su radila nezavisno, pod sumnjom da su jedino razmenjivali informacije o novim ranjivostima „zero-day”.

Opis

Stuxnet je bilo prvo sajber oružje usmereno na industrijska postrojenja. Virus Stuxnet je takođe inficirao i kompjutere običnih korisnika širom sveta i tako je otkriven u junu 2010, iako je najranija verzija ovog štetnog programa stvorena godinu dana pre toga. Sledeći primer sajber oružija, danas poznatog kao Duqu, otkriven je u septembru 2011. Drugačiji od virusa Stuxnet, glavni zadatak virusa Duqu Trojan bio je da prikrije infekciju sistema i da ukrade privatne informacije (sajber špijunaža).

Tokom analize virusa Duqu, pronađene su sličnosti sa virusom Stuxnet, i otkriveno je da su dva sajber oružja stvorena na istoj platformi poznatoj kao „TildedPlatform”. Tvorci štetnog softvera su izabrali to ime od oblika „~d*.*” - odatle, „Tilde-d”. Virus Flame, kojeg su u maju 2012. otkrili Međunarodna unija za telekomunikacije (ITU) i kompanija Kaspersky Lab, bio je na prvi pogled skroz drugačiji. Neke karakteristike, kao što su veličina štetnog programa, upotreba programskog jezika LUI i različita funkcionalnost, išle su u prilog tome da tvorac virusa Flame nije povezan sa tvorcima virusa Duqu ili Stuxnet. Kako god, nova otkrića pokazuju da je platforma „Tilded” povezana sa platformom virusa Flame.

Nova saznanja

Nekada poznata verzija Stuxnet, navodno nastala u junu 2009, sadrži poseban modul poznat pod imenom „Resource 207“. U narednoj verziji Stuxnet 2010, ovaj modul je potpuno uklonjen. Modul „Resource 207“ je kodiran fajlom DLL i sadrži izvršnu datoteku koja je veličine 351 768 bajtova pod imenom „atmpsvcn.ocx“. Prema saznanjima kompanije Kaspersky Lab, ovaj fajl ima mnogo toga zajedničkog sa kodom koji se koristi u programu Flame. Lista zapanjujućih sličnosti obuhvata imena međusobno isključivih objekata, algoritam koji se koristi za deskribovanje niza podataka i pristupe imenovanju fajlova.

Većina delova koda su identični ili slični u odgovarajućim modulima virusa Stuxnet ili Flame što dovodi do zaključka da je razmena između timova koji su kreirali programe Flame i Duqu/Stuxnet obavljena u vidu izvornog koda (tj. ne u binarnom obliku). Osnovna funkcionalnost Modula Stuxnet „Resource 207“ jeste prenos infekcije sa jedne komponente na drugu, pomoću prenosnih USB drajvova i uz korišćenje ranjivosti jezgra Windows-a, kako bi bila dobijena eskalacija privilegija unutar sistema. Kod koji je odgovoran za distribuciju zlonamernog softvera pomoću USB drajva potpuno je identičan onome koji je korišćen u programu Flame.

Aleksander Gostev, vodeći ekspert za bezbednost u kompaniji Kaspersky Lab, komentariše: „Uprkos novootkrivenim činjenicama, uvereni smo da su Flame i Tilded potpuno različite platforme koje su korišćene za razvoj velikog broja sajber oružja. Svaka od njih ima različite arhitekture sa jedinstvenim trikovima koji su korišćeni da se sistemi zaraze i urade primarni zadaci. Projekti su bili zasebni i nezavisni jedan od drugog. Međutim, nova saznanja koja otkrivaju kako su timovi delili izvorni kod bar jednog modula u ranim fazama razvoja, potvrđuju da su timovi sarađivali bar jednom. Otkrili smo snažan dokaz da su Stuxnet/Duqu i Flame sajber oružja povezani.“

Dodatne informacije o istrazi možete naći u članku na Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovan Pornhub: Hakeri nagrađeni sa 20000 dolara, informacije o korisnicima bezbedne

Hakovan Pornhub: Hakeri nagrađeni sa 20000 dolara, informacije o korisnicima bezbedne

Hakeri su pronašli način kako da otkriju najintimnije tajne korisnika web sajta Pornhub, ali su obećali da to neće uraditi. Reč je ustvari o bezb... Dalje

Bežične tastature imaju bezbednosne propuste koji omogućavaju špijuniranje

Bežične tastature imaju bezbednosne propuste koji omogućavaju špijuniranje

Istraživači iz firme Bastille Networks otkrili su niz bezbednosnih propusta u jeftinim bežičnim tastaturama koji mogu biti iskorišćene za presre... Dalje

''No More Ransomware'': Europol i antivirusne kompanije zajedno u borbi protiv ransomwarea

''No More Ransomware'': Europol i antivirusne kompanije zajedno u borbi protiv ransomwarea

Holandska Nacionalna policija, Europol, Intel Security i Kaspersky Lab pokrenuli su juče inicijativu pod nazivom “No more ransomware”, ka... Dalje

Od sledećeg meseca Firefox će blokirati određeni Flash sadržaj

Od sledećeg meseca Firefox će blokirati određeni Flash sadržaj

Od narednog meseca, Firefox će početi da blokira određeni Flash sadržaj, sledeći trend koga smo videli kod drugih popularnih browsera. Firefox ć... Dalje

Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Imate li iPhone? Mac? Ili bilo koji Apple uređaj? Samo jedna specijalno napravljena poruka može hakeru otkriti vaše lične informacije, uključuju... Dalje