Когато новината за сложното кибероръжие Flame излезе за първи път преди няколко седмици, руската фирма за сигурност Kaspersky посочи, че въпреки някои повърхностни прилики, има не е индикация, че Flame има много общо със Stuxnet, софтуерно оръжие, което е насочено специално към усилията на Иран за обогатяване на уран и след това е избягало в див. Сега Kaspersky казва, че е било грешно: фирмата твърди, че е разкрила споделен код, който показва, че създателите на Flame и Stuxnet поне са работили заедно — и дори може да са едни и същи хора.
Пламъкът има привлече значително внимание в кръговете по сигурността заради своята усъвършенствана архитектура позволява на атакуващите да инсталират модули, съобразени с техния интерес в конкретни системи. Изглежда, че различни модули изпълняват „нормални“ задачи за злонамерен софтуер като сканиране на потребителски файлове и регистриране на натискания на клавиши; Открити са и пламъчни модули, които изглежда правят екранни снимки, включват аудио микрофони, за да записват аудио и дори анкетират близките Bluetooth устройства за контакти и друга информация.
Препоръчани видеоклипове
Доказателствата? Когато Stuxnet беше в свободен роуминг, автоматизираните системи на Kaspersky засякоха нещо, което приличаше на вариант на Stuxnet. Когато служителите на Kaspersky първоначално го разгледаха, те не можаха наистина да разберат защо техните системи смятат, че е Stuxnet, приемат, че е грешка, и го прекласифицират под името „Tocy.a.“ Когато обаче Flame се появи, Kaspersky се върна да търси неща, които биха могли да свържат Flame със Stuxnet - и ето, ето, вариантът Tocy.a, който не направи нищо смисъл. В светлината на Flame Kaspsersky казва, че Tocy.a всъщност има повече смисъл: това е ранна версия на плъгин модул за Flame, който прилага това, което (по това време) беше експлойт за ескалация на привилегии за нулев ден в Windows. Tocy.a се скиташе в системите на Kaspersky още през октомври 2010 г. и съдържа код, който може да бъде проследен до 2009 г.
„Смятаме, че всъщност е възможно да говорим за платформа „Flame“ и че този конкретен модул е създаден въз основа на неговия изходен код“, пише Александър Гостев от Kaspersky.
Ако анализът на Kaspersky е правилен, това би означавало, че „платформата Flame“ вече е била готова и работеща по времето, когато оригиналният Stuxnet е бил създаден и пуснат обратно в началото до средата на 2009 г. Приблизителното датиране е възможно, тъй като прото-Flame кодът се появява само в първата версия на червея Stuxnet: той изчезна от две следващи версии на Stuxnet, които се появиха през 2010 г.
Kaspersky заключава, че високомодулната платформа Flame е продължила по различен път на развитие от Stuxnet, което означава, че са участвали поне два екипа за разработка. Но настоящето на тази ранна версия на модул Flame изглежда показва, че разработчиците на Stuxnet са имали достъп програмен код за истински експлойт на Windows от нулевия ден, който беше (в този момент) неизвестен на по-широката общност по сигурността. Това означава, че двата отбора бяха доста изравнени, поне в един момент.
Ню Йорк Таймс съобщи че Stuxnet е създаден като кибероръжие от Съединените щати и Израел в опит да спрат дейностите на Иран по обогатяване на уран. След откриването на Flame и последващия му анализ от фирми за компютърна сигурност, създателите на Flame са очевидно е изпратил команда „самоубийство“ до някои заразени с Flame системи в опит да премахне следите от софтуер.
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
