Kaspersky Lab: Stuxnet i Flame su ipak povezani

Vesti, 12.06.2012, 09:25 AM

Kaspersky Lab: Stuxnet i Flame su ipak povezani

U maju ove godine, objavljeno je da je virus Flame najsloženije sajber oružje današnjice. U momentu kada je otkriveno nisu postojali čvrsti dokazi da su Flame stvorili isti oni koji su stvorili viruse Stuxnet i Duqu. Budući da je na različite načine posmatran razvoj virusa Flame i Duqu/Stuxnet, smatrano je da su ove viruse kreirali različiti timovi. Kako god, eksperti kompanije Kaspersky Lab uradili su detaljnije istraživanje i ustanovili da su pomenute viruse stvorili timovi koji su sigurno bar jednom sarađivali na početku njihovog razvoja.

Evo nekih činjenica koje govore u prilog toj tezi:

  • Kompanija Kaspersky Lab je otkrila da je verzija virusa Stuxnet od 2009. godine, poznatija kao „Resource 207“, u stvari bio Flame plugin.

  • To znači da kada je virus Stuxnet stvoren početkom 2009. godine, platforma za Flame je već postojala i izvorni kod bar jednog modula programa Flame, korišćen je u programu Stuxnet.

  • Ovaj modul je korišćen da širi infekciju pomoću USB drajva. Kod mehanizma infekcije USB diskom identičan je za Flame i Stuxnet.

  • Modul Flame u programu Stuxnet takođe je iskoristio ranjivost koja je bila nepoznata do tada i omogućila je eskalaciju privilegija, verovatno MS09-025.

  • Zatim, plugin modul programa Flame otklonjen je iz programa Stuxnet 2010. i zamenjen je sa nekoliko drugačijih modula koji su koristili nove ranjivosti.

  • Početkom 2010, dva tima su radila nezavisno, pod sumnjom da su jedino razmenjivali informacije o novim ranjivostima „zero-day”.

Opis

Stuxnet je bilo prvo sajber oružje usmereno na industrijska postrojenja. Virus Stuxnet je takođe inficirao i kompjutere običnih korisnika širom sveta i tako je otkriven u junu 2010, iako je najranija verzija ovog štetnog programa stvorena godinu dana pre toga. Sledeći primer sajber oružija, danas poznatog kao Duqu, otkriven je u septembru 2011. Drugačiji od virusa Stuxnet, glavni zadatak virusa Duqu Trojan bio je da prikrije infekciju sistema i da ukrade privatne informacije (sajber špijunaža).

Tokom analize virusa Duqu, pronađene su sličnosti sa virusom Stuxnet, i otkriveno je da su dva sajber oružja stvorena na istoj platformi poznatoj kao „TildedPlatform”. Tvorci štetnog softvera su izabrali to ime od oblika „~d*.*” - odatle, „Tilde-d”. Virus Flame, kojeg su u maju 2012. otkrili Međunarodna unija za telekomunikacije (ITU) i kompanija Kaspersky Lab, bio je na prvi pogled skroz drugačiji. Neke karakteristike, kao što su veličina štetnog programa, upotreba programskog jezika LUI i različita funkcionalnost, išle su u prilog tome da tvorac virusa Flame nije povezan sa tvorcima virusa Duqu ili Stuxnet. Kako god, nova otkrića pokazuju da je platforma „Tilded” povezana sa platformom virusa Flame.

Nova saznanja

Nekada poznata verzija Stuxnet, navodno nastala u junu 2009, sadrži poseban modul poznat pod imenom „Resource 207“. U narednoj verziji Stuxnet 2010, ovaj modul je potpuno uklonjen. Modul „Resource 207“ je kodiran fajlom DLL i sadrži izvršnu datoteku koja je veličine 351 768 bajtova pod imenom „atmpsvcn.ocx“. Prema saznanjima kompanije Kaspersky Lab, ovaj fajl ima mnogo toga zajedničkog sa kodom koji se koristi u programu Flame. Lista zapanjujućih sličnosti obuhvata imena međusobno isključivih objekata, algoritam koji se koristi za deskribovanje niza podataka i pristupe imenovanju fajlova.

Većina delova koda su identični ili slični u odgovarajućim modulima virusa Stuxnet ili Flame što dovodi do zaključka da je razmena između timova koji su kreirali programe Flame i Duqu/Stuxnet obavljena u vidu izvornog koda (tj. ne u binarnom obliku). Osnovna funkcionalnost Modula Stuxnet „Resource 207“ jeste prenos infekcije sa jedne komponente na drugu, pomoću prenosnih USB drajvova i uz korišćenje ranjivosti jezgra Windows-a, kako bi bila dobijena eskalacija privilegija unutar sistema. Kod koji je odgovoran za distribuciju zlonamernog softvera pomoću USB drajva potpuno je identičan onome koji je korišćen u programu Flame.

Aleksander Gostev, vodeći ekspert za bezbednost u kompaniji Kaspersky Lab, komentariše: „Uprkos novootkrivenim činjenicama, uvereni smo da su Flame i Tilded potpuno različite platforme koje su korišćene za razvoj velikog broja sajber oružja. Svaka od njih ima različite arhitekture sa jedinstvenim trikovima koji su korišćeni da se sistemi zaraze i urade primarni zadaci. Projekti su bili zasebni i nezavisni jedan od drugog. Međutim, nova saznanja koja otkrivaju kako su timovi delili izvorni kod bar jednog modula u ranim fazama razvoja, potvrđuju da su timovi sarađivali bar jednom. Otkrili smo snažan dokaz da su Stuxnet/Duqu i Flame sajber oružja povezani.“

Dodatne informacije o istrazi možete naći u članku na Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Pornografski sajt Xtube inficira trojancem računare posetilaca

Pornografski sajt Xtube inficira trojancem računare posetilaca

Hakeri su kompromitovali popularni pornografski sajt Xtube i ubacili u sajt maliciozni kod koji preusmerava posetioce na stranicu sa exploit alatom, i... Dalje

''Sextortion'': Ucenjivači sa interneta sada koriste Android malvere da bi ucenjivali žrtve

''Sextortion'': Ucenjivači sa interneta sada koriste Android malvere da bi ucenjivali žrtve

“Sextortion” je oblik seksualne ucene žrtve koju je ucenjivač prethodno ubedio da izvede neki seksualni akt koji je krišom snimio da bi... Dalje

Zbog hakerskog napada, Twitch resetovao lozinke svih korisničkih naloga

Zbog hakerskog napada, Twitch resetovao lozinke svih korisničkih naloga

Amazonov servis za streamovanje video igara Twitch objavio je da su otkriveni pokušaji nedozvoljenog pristupa nekim informacijama korisničkih naloga... Dalje

Prevaranti i dalje obećavaju korisnicima besplatne pozive preko WhatsAppa

Prevaranti i dalje obećavaju korisnicima besplatne pozive preko WhatsAppa

Ne po prvi put prevaranti koriste interesovanje korisnika WhatsAppa za besplatne pozive koje je WhatsApp uveo krajem januara ali ne za sve korisnike A... Dalje

Na hakerskom takmičenju Pwn2Own hakovana sva četiri vodeća browsera

Na hakerskom takmičenju Pwn2Own hakovana sva četiri vodeća browsera

Hakeri koji su učestvovali na takmičenju Pwn2Own uspeli su da hakuju četiri popularna browsera, kao i Adobe Reader i Flash Player pluginove. Najve... Dalje