Když se před pár týdny poprvé objevila zpráva o sofistikované kybernetické zbrani Flame, ruská bezpečnostní firma Kaspersky naznačila, že navzdory některým povrchním podobnostem existuje nic nenasvědčovalo tomu, že by měl Flame mnoho společného se Stuxnetem, softwarovou zbraní, která se specificky zaměřovala na íránské úsilí o obohacování uranu a poté unikla do divoký. Nyní Kaspersky říká, že to bylo špatně: Firma tvrdí, že to odhalila sdílený kód, který naznačuje, že tvůrci Flame a Stuxnet alespoň spolupracovali — a mohou to být dokonce stejní lidé.
Flame má přitahoval značnou pozornost v bezpečnostních kruzích pro svou sofistikovanou architekturu umožňuje útočníkům instalovat moduly šité na míru jejich zájmu v konkrétním systému. Zdá se, že různé moduly provádějí „normální“ malwarové úlohy, jako je skenování souborů uživatelů a protokolování stisknutých kláves; Byly také nalezeny moduly Flame, které podle všeho pořizují snímky obrazovky, zapínají zvukové mikrofony pro záznam zvuku a dokonce vyhledávají kontakty a další informace v blízkých zařízeních Bluetooth.
Doporučená videa
Důkazy? Když byl Stuxnet bezplatný roaming, automatické systémy Kaspersky zachytily něco, co vypadalo jako varianta Stuxnetu. Když se na to zaměstnanci Kaspersky zpočátku podívali, nemohli skutečně pochopit, proč si jejich systémy myslely, že jde o Stuxnet, předpokládaly, že jde o chybu, a překlasifikovaly to pod názvem "Tocy." Když se však objevil Flame, Kaspersky se vrátil hledat věci, které by mohly spojit Flame se Stuxnetem – a ejhle, tam je varianta Tocy.a, která žádné smysl. Ve světle Flame Kaspsersky říká, že Tocy.a ve skutečnosti dává větší smysl: je to raná verze zásuvného modulu modul pro Flame, který implementuje to, co (v té době) bylo zneužití eskalace oprávnění zero-day Okna. Tocy.a se do systémů společnosti Kaspersky zatoulala až v říjnu 2010 a obsahuje kód, který lze vysledovat až do roku 2009.
„Myslíme si, že je skutečně možné mluvit o platformě ‚Flame‘ a že tento konkrétní modul byl vytvořen na základě jeho zdrojového kódu,“ napsal Alexander Gostev z Kaspersky.
Pokud je analýza společnosti Kaspersky správná, znamenalo by to, že „platforma Flame“ již byla v provozu v době, kdy byl vytvořen původní Stuxnet, a uvolnila se na začátku až poloviny roku 2009. Přibližné datování je možné, protože kód proto-Flame se objevuje pouze v první verzi červa Stuxnet: Zmizel ze dvou následujících verzí Stuxnetu, které se objevily v roce 2010.
Kaspersky z toho vyvozuje, že vysoce modulární platforma Flame postupovala jinou cestou vývoje než Stuxnet, což znamená, že se na ní podílely nejméně dva vývojové týmy. Zdá se však, že přítomnost této rané verze modulu Flame naznačuje, že vývojáři ze Stuxnetu měli přístup zdrojový kód za skutečný zero-day exploit Windows, který byl (v té chvíli) širší bezpečnostní komunitě neznámý. To znamená, že oba týmy byly dost těsné, alespoň v jednu chvíli.
Informoval o tom list The New York Times že Stuxnet byl vytvořen jako kybernetická zbraň Spojenými státy a Izraelem ve snaze brzdit íránské aktivity obohacování uranu. Od objevení Flame a jeho následné analýzy firmami pro počítačovou bezpečnost, tvůrci Flame ano zřejmě vyslal „sebevražedný“ příkaz do některých systémů infikovaných Plamenem ve snaze odstranit stopy software.
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
