Da ordet om det sofistikerede Flame-cybervåben først kom ud for et par uger siden, indikerede det russiske sikkerhedsfirma Kaspersky, at der trods nogle overfladiske ligheder var ingen indikation af, at Flame havde meget af noget til fælles med Stuxnet, et softwarevåben, der specifikt var rettet mod Irans uranberigelsesindsats og derefter flygtede ind i vild. Nu siger Kaspersky, at det var forkert: Firmaet hævder at have afsløret delt kode, der indikerer, at skaberne af Flame og Stuxnet i det mindste arbejdede sammen - og kan endda være de samme mennesker.
Flamme har vakte stor opmærksomhed i sikkerhedskredse for sin sofistikerede arkitektur gør det muligt for angribere at installere moduler, der er skræddersyet til deres interesse i et bestemt system. Forskellige moduler ser ud til at udføre "normale" malware-opgaver som at scanne gennem brugernes filer og logge tastetryk; Der er også fundet flammemoduler, der ser ud til at tage skærmbilleder, tænde for lydmikrofoner for at optage lyd og endda polle nærliggende Bluetooth-enheder for kontakter og anden information.
Anbefalede videoer
Beviset? Dengang Stuxnet roamede frit, opfangede Kasperskys automatiserede systemer noget, der lignede en Stuxnet-variant. Da Kasperskys personale først så på det, kunne de ikke rigtig forstå, hvorfor deres systemer troede, det var Stuxnet, antog, at det var en fejl, og omklassificerede det under navnet "Tocy.a." Da Flame dukkede op, gik Kaspersky imidlertid tilbage for at lede efter ting, der kunne forbinde Flame med Stuxnet - og se, der var Tocy.a-varianten, der ikke lavede nogen følelse. I lyset af Flame siger Kaspsersky, at Tocy.a faktisk giver mere mening: det er en tidlig version af et plug-in modul til Flame, der implementerer, hvad der (dengang) var en nul-dages privilegieeskaleringsudnyttelse i Windows. Tocy.a vandrede ind i Kasperskys systemer helt tilbage i oktober 2010 og indeholder kode, der kan spores til 2009.
"Vi tror, at det faktisk er muligt at tale om en 'Flame'-platform, og at netop dette modul blev skabt ud fra dets kildekode," skrev Kasperskys Alexander Gostev.
Hvis Kasperskys analyse er korrekt, ville det indikere, at "Flame-platformen" allerede var oppe og køre, da det oprindelige Stuxnet blev oprettet og sat løs tilbage i begyndelsen til midten af 2009. Den omtrentlige datering er mulig, fordi proto-Flame-koden kun vises i den første version af Stuxnet-ormen: Den forsvandt fra to efterfølgende versioner af Stuxnet, der dukkede op i 2010.
Kaspersky udleder, at den meget modulære Flame-platform fortsatte på en anden udviklingsvej end Stuxnet, hvilket betyder, at der var mindst to udviklingsteam involveret. Men nutiden af den tidlige version af et Flame-modul synes at indikere, at Stuxnet-udviklerne havde adgang til kildekode til en ægte nul-dages Windows-udnyttelse, der (på det tidspunkt) var ukendt for det bredere sikkerhedssamfund. Det betyder, at de to hold var ret tætte, i hvert fald på et tidspunkt.
Det har New York Times rapporteret at Stuxnet blev skabt som et cybervåben af USA og Israel i et forsøg på at hæmme Irans uranberigelsesaktiviteter. Siden opdagelsen af Flame og dens efterfølgende analyse af computersikkerhedsfirmaer, har Flames skabere gjort det sendte tilsyneladende en "selvmords"-kommando til nogle Flame-inficerede systemer i et forsøg på at fjerne spor af software.
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
