Kui paar nädalat tagasi tuli esimest korda sõna keerukast küberrelvast Flame, märkis Vene turvafirma Kaspersky, et vaatamata mõnele pealiskaudsele sarnasusele, ei viitanud sellele, et Flame'il oleks palju ühist Stuxnetiga, tarkvararelvaga, mis oli suunatud konkreetselt Iraani uraani rikastamise jõupingutustele ja põgenes seejärel metsik. Nüüd ütleb Kaspersky, et see oli vale: ettevõte väidab, et on avastanud jagatud kood, mis näitab, et Flame'i ja Stuxneti loojad tegid vähemalt koostööd - ja võivad olla isegi samad inimesed.
Leegil on äratas märkimisväärset tähelepanu turvaringkondades võimaldab see oma keeruka arhitektuuri tõttu ründajatel installida mooduleid, mis on kohandatud nende huvidele konkreetsete süsteemide vastu. Tundub, et erinevad moodulid täidavad "tavalisi" pahavaratoiminguid, nagu kasutajate failide skannimine ja klahvivajutuste logimine; Samuti on leitud leegimooduleid, mis teevad ekraanipilte, lülitavad heli salvestamiseks sisse helimikrofonid ja küsivad isegi läheduses asuvatest Bluetooth-seadmetest kontakte ja muud teavet.
Soovitatavad videod
Tõendid? Kui Stuxnet rändles tasuta, kasutasid Kaspersky automatiseeritud süsteemid midagi, mis nägi välja nagu Stuxneti variant. Kui Kaspersky töötajad seda alguses vaatasid, ei saanud nad tegelikult aru, miks nende süsteemid arvasid, et see on Stuxnet, eeldasid, et tegu on veaga, ja klassifitseerisid selle nime alla. "Tocy.a." Kui aga Flame ilmus, läks Kaspersky tagasi otsima asju, mis võiksid Flame'i Stuxnetiga siduda – ja ennäe, seal oli Tocy.a variant, mis ei toonud midagi välja. meel. Flame'i valguses ütleb Kaspsersky, et Tocy.a on tegelikult mõistlikum: see on pistikprogrammi varajane versioon Flame'i moodul, mis rakendab (tol ajal) nullpäevase privileegide eskalatsiooni ärakasutamist Windows. Tocy.a rändas Kaspersky süsteemidesse juba 2010. aasta oktoobris ja sisaldab koodi, mida saab jälgida kuni 2009. aastani.
"Me arvame, et tegelikult on võimalik rääkida "Flame" platvormist ja sellest, et see konkreetne moodul loodi selle lähtekoodi põhjal," kirjutas Kaspersky Alexander Gostev.
Kui Kaspersky analüüs on õige, viitab see sellele, et "Flame platvorm" oli algse Stuxneti loomise ajaks juba valmis ja töötatud ning 2009. aasta alguses-keskpaigas tagasi lastud. Ligikaudne dateerimine on võimalik, kuna proto-Flame'i kood ilmub ainult Stuxneti ussi esimeses versioonis: see kadus kahest järgnevast Stuxneti versioonist, mis ilmusid 2010. aastal.
Kaspersky järeldab, et väga modulaarne Flame'i platvorm läks Stuxnetist erineval arendusteel, mis tähendab, et kaasatud oli vähemalt kaks arendusmeeskonda. Kuid Flame'i mooduli varase versiooni olevik näib viitavat, et Stuxneti arendajatel oli juurdepääs lähtekood tõelise nullpäeva Windowsi ärakasutamise jaoks, mis oli (sel hetkel) laiemale turvaringkonnale tundmatu. See tähendab, et kaks meeskonda olid vähemalt ühel hetkel üsna pingelised.
New York Times on teatanud et Stuxneti lõid USA ja Iisrael küberrelvana, et takistada Iraani uraani rikastamise tegevust. Alates Flame'i avastamisest ja selle hilisemast analüüsist arvutiturbefirmade poolt on Flame'i loojad seda teinud ilmselt saatis mõnele Flame'iga nakatunud süsteemile enesetapukäsu, püüdes eemaldada jäljed tarkvara.
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
