La inceput era doar o banuiala, insa acum a venit confirmarea ca exista stranse legaturi intre cea mai complexa arma cibernetica descoperita pana acum - Flame - si viermele Stuxnet care a atacat instalatii industriale iraniene in 2010. Echipele responsabile pentru crearea acestor amenintari informatice au colaborat cel putin o data in timpul etapei de dezvoltare, spun cei de la Kaspersky. Incepand cu 2010, cele doua echipe de dezvoltare au lucrat independent una de cealalta.
Viermele Stuxnet a fost prima arma cibernetica ce tintea obiective industriale. Faptul ca acesta infecta si sisteme PC obisnuite din intreaga lume a dus la identificarea sa in iunie 2010, cu toate ca cea mai veche versiune Stuxnet era datata cu un an in urma. Urmatorul exemplu de arma cibernetica a fost Duqu , descoperit in septembrie 2011. Spre deosebire de Stuxnet, principalul scop al troianului Duqu era sa actioneze ca un backdoor pe sistemul infectat si sa fure informatii confidentiale (spionaj cibernetic).
In timpul analizei Duqu au fost descoperite similitudini cu viermele Stuxnet, care au dezvaluit faptul ca cele doua arme cibernetice au fost create folosind aceeasi platforma de atac, cunoscuta sub numele de "Tilded Platform". Virusul Flame, descoperit in luna mai 2012 in urma investigatiei conduse de Kaspersky Lab si initiate la cererea Uniunii Internationale a Telecomunicatiilor (ITU) , era, la prima vedere, complet diferit.
O serie de caracteristici, precum marimea malware-ului, utilizarea limbajului de programare Lua si functionalitatile variate nu indicau nicio conexiune cu Duqu sau Stuxnet. Insa, ultimele descoperiri rescriu istoria Stuxnet si demonstreaza, fara niciun fel de indoiala, ca platforma "Tilde" este conectata cu platforma Flame, sustin cei de la Kaspersky.
Noile descoperiri
O versiune mai veche de Stuxnet, despre care se presupune ca a fost creata in iunie 2009, contine un modul special, numit "Resource 207". In versiunea din 2010 a viermelui Stuxnet, acest modul a fost complet inlaturat. "Resource 207" este un modul criptat, si contine un executabil cu numele "atmpsvcn.ocx", cu o marime de 351.768 bytes. Acest fisier, scos acum la lumina de investigatia Kaspersky Lab, are foarte multe lucruri in comun cu Flame. Printre similitudini se numara numele unor componente, algoritmul folosit pentru decriptarea sirurilor de caractere si abordarile similare de numire a fisierelor.
In plus, majoritatea sectiunilor de cod din modulele Stuxnet si Flame par a fi identice sau asemanatoare, detaliu care duce la concluzia ca "schimburile" dintre echipele care au creat cele doua arme cibernetice s-au facut direct la nivel de cod sursa. Functionalitatea primara a modulului "Resource 207" din Stuxnet era distribuirea infectiei de la un computer la altul, prin folosirea dispozitivelor USB si exploatarea unei vulnerabilitati din kernel-ul Windows, pentru a obtine escaladarea privilegiilor pe sistemul infectat. Codul responsabil pentru distribuirea de malware prin dispozitivle USB este complet identic cu cel folosit in Flame.
"In ciuda noilor descoperiri, suntem convinsi de faptul ca platformele Flame si Tilded sunt complet diferite, utilizate pentru crearea de multiple arme cibernetice.", spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. "Fiecare platforma are o arhitectura diferita, cu propriile trucuri, folosite pentru a infecta sisteme si a executa sarcini primare. Intr-adevar, proiectele au fost separate si independente unul de celalalt, insa, noile descoperiri releva ca cele doua echipe au impartit codul sursa al cel putin unui modul in timpul procesului initial de dezvoltare. Asadar, au colaborat cel putin o data. Tot ceea ce am aflat sta drept dovada a faptului ca exista o legatura intre armele cibernetice Stuxnet/Duqu si Flame", mai spune Gostev.
Romania a fost mentionata de catre Evgheni Kaspersky, alaturi de SUA, Marea Britanie, Israel, China, Rusia si India ca fiind una dintre tarile capabile sa dezvolte un "vierme" informatic puternic in stilul Flame sau Stuxnet.
3
3
