Amikor néhány héttel ezelőtt először hírt adtak a kifinomult Flame kiberfegyverről, a Kaspersky orosz biztonsági cég jelezte, hogy néhány felületes hasonlóság ellenére nem utalt arra, hogy a Flame-nek sok közös vonása van a Stuxnet-tel, egy olyan szoftverfegyverrel, amely kifejezetten Irán urándúsítási erőfeszítéseit célozta meg, majd elmenekült a vad. Nos, a Kaspersky azt mondja, hogy tévedett: a cég azt állítja, hogy felfedte megosztott kód, amely azt jelzi, hogy a Flame és a Stuxnet alkotói legalább együtt dolgoztak - és akár ugyanazok az emberek is lehetnek.
A lángnak van jelentős figyelmet keltett biztonsági körökben kifinomult architektúrája miatt lehetővé teszi a támadók számára, hogy érdeklődésükre szabott modulokat telepítsenek egy adott rendszerben. Úgy tűnik, hogy különféle modulok „szokásos” kártevő-feladatokat hajtanak végre, mint például a felhasználók fájljainak átvizsgálása és a billentyűleütések naplózása; Olyan lángmodulokat is találtak, amelyek képernyőképeket készítenek, audiomikrofonokat kapcsolnak be hangfelvételhez, és még a közeli Bluetooth-eszközökön is lekérdezik a névjegyeket és egyéb információkat.
Ajánlott videók
A bizonyíték? Amikor a Stuxnet ingyenesen barangolt, a Kaspersky automatizált rendszerei felvettek valamit, ami Stuxnet változatnak tűnt. Amikor a Kaspersky munkatársai először megnézték, nem igazán tudták megérteni, hogy a rendszerük miért gondolja, hogy Stuxnet, azt feltételezték, hogy hiba volt, és átminősítették a névre. "Tocy.a." Amikor azonban megjelent a Flame, a Kaspersky visszatért, hogy olyan dolgokat keressen, amelyek összekapcsolhatják a Flame-et a Stuxnet-tel – és íme, ott van a Tocy.a változat, amely nem hozott eredményt érzék. A Flame fényében Kaspsersky szerint a Tocy.a valójában értelmesebb: ez egy beépülő modul korai verziója modul a Flame számára, amely megvalósítja azt, ami (akkoriban) egy nulladik napos privilégium-eszkalációs kihasználás volt Ablakok. A Tocy.a egészen 2010 októberében vándorolt be a Kaspersky rendszereibe, és 2009-ig visszavezethető kódot tartalmaz.
„Úgy gondoljuk, hogy valóban lehet beszélni egy „Flame” platformról, és arról, hogy ezt a modult a forráskódja alapján hozták létre” – írta a Kaspersky munkatársa, Alexander Gostev.
Ha a Kaspersky elemzése helyes, az azt jelzi, hogy a „Flame platform” már működött, amikor az eredeti Stuxnet létrejött, és 2009 elején-közepén szabadult fel. A hozzávetőleges dátumozás azért lehetséges, mert a proto-Flame kód csak a Stuxnet féreg első verziójában jelenik meg: eltűnt a Stuxnet két későbbi verziójából, amelyek 2010-ben jelentek meg.
A Kaspersky arra következtet, hogy a rendkívül moduláris Flame platform a Stuxnettől eltérő fejlesztési úton haladt, vagyis legalább két fejlesztőcsapat vett részt benne. De úgy tűnik, hogy a Flame modul korai verziójának jelene azt jelzi, hogy a Stuxnet fejlesztői hozzáfértek forráskód egy igazi nulladik napi Windows-exploithoz, amely (akkor) ismeretlen volt a szélesebb biztonsági közösség számára. Ez azt jelenti, hogy a két csapat nagyon szoros volt, legalábbis egy ponton.
A New York Times közölte hogy a Stuxnetet kiberfegyverként hozta létre az Egyesült Államok és Izrael, hogy meggátolják Irán urándúsítási tevékenységét. A Flame felfedezése és a számítógép-biztonsági cégek általi későbbi elemzése óta a Flame alkotói megtették nyilvánvalóan öngyilkossági parancsot küldött néhány Flame-fertőzött rendszernek, hogy eltávolítsák a szoftver.
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
