De manier waarop Flame ontwikkeld is verschilt met die van Duqu/Stuxnet, waardoor de conclusie werd getrokken dat ze door verschillende teams zijn gemaakt. Experts van Kaspersky Lab hebben echter ontdekt dat de teams in elk geval één keer hebben samengewerkt in het beginstadium van de ontwikkeling.
De feiten in het kort:
· Kaspersky Lab heeft ontdekt dat een module uit de 2009-versie van Stuxnet – bekend als “Resource 207” – eigenlijk een Flame-plugin was.
· Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet.
· Deze module is gebruikt om de infectie te verspreiden via USB-drives. De code van het USB-infectiemechanisme in Flame en Stuxnet is identiek.
· De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025.
· Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.
· Vanaf 2010 hebben de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe “zero-day”-kwetsbaarheden.
Achtergrond
Stuxnet was het eerste cyberwapen dat zich richtte op industriële faciliteiten. Omdat Stuxnet ook wereldwijd reguliere PC’s infecteerde, werd het in juni 2010 ontdekt. De oudste versie van Stuxnet die bekend is, stamt uit 2009. Het tweede voorbeeld van een cyberwapen, bekend als Duqu, werd ontdekt in september 2011. In tegenstelling tot Stuxnet werd Duqu gebruikt als achterdeur in besmette systemen waarmee gevoelige gegevens werden gestolen (cyberspionage).
Tijdens de analyse van Duqu werden sterke overeenkomsten met Stuxnet gevonden waaruit bleek dat de twee cyberwapens gebruik maakten van hetzelfde aanvalsplatform, het “Tilded platform”. De naam komt van de voorkeur van de ontwikkelaars om bestandsnamen te gebruiken in de vorm “~d*.*” – vandaar “Tilde-d”. Flame, dat ontdekt werd in mei 2012 na onderzoek in opdracht van de International Communications Union (ITU) en uitgevoerd door Kaspersky Lab, leek in eerste oogopslag compleet verschillend. Bepaalde eigenschappen, zoals de grootte van de malware, het gebruik van LUA-programmeertaal en de verschillende functionaliteiten, deden vermoeden dat er geen relatie was tussen Flame en de makers van Stuxnet/Duqu. De nieuwe feiten wijzen echter zonder twijfel uit dat het Tilded-platform inderdaad iets te maken heeft met het Flame-platform.
Nieuwe ontdekkingen
De eerste bekende versie van Stuxnet, waarvan wordt aangenomen dat deze in juni 2009 is gecreëerd, bevat een speciale module genaamd “Resource 207”. Deze module is in latere versies van Stuxnet volledig verwijderd. De Resource 207-module is een gecodeerd DLL-bestand en bevat een uitvoerbaar bestand met een grootte van 351,768 bytes met de naam “atmpsvcn.ocx”. Dit specifieke bestand heeft een hoop gemeen met de code die wordt gebruikt in Flame, ontdekten onderzoekers van Kaspersky Lab. De lijst van opvallende overeenkomsten bevat onder andere namen van dezelfde exclusieve objecten, het algoritme dat wordt gebruikt om strings te ontcijferen en een vergelijkbare aanpak in het geven van bestandsnamen.
Belangrijker is dat de meeste secties uit de code identiek of vergelijkbaar zijn in de Stuxnet- en Flame-modules. Dit wijst erop dat de uitwisseling tussen de teams van Flame en Duqu/Stuxnet gebeurde in de vorm van broncode (dus niet in binaire vorm). De hoofdtaak van Stuxnet’s Resource 207-module was het verspreiden van de infectie van het ene naar het andere systeem via USB-drives en het misbruik maken van kwetsbaarheden in Windows kernel om verhoogde rechten te krijgen binnen het systeem. De code die verantwoordelijk is voor het verspreiden van malware via USB-drives is helemaal identiek ten opzichte van die in Flame.
“Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platforms zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen,” zegt Alexander Gostev, Chief Security Expert van Kaspersky Lab. “Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn.”
Meer details over het onderzoek kunnen gelezen worden in het artikel op Securelist.com. Om meer te weten te komen over Flame, bekijk de Flame FAQ van onze Kaspersky Lab’s security researchers.