Kaspersky: Cyberweapons Flame dan Stuxnet berbagi kode

Nyalakan senjata siber malware

Ketika berita tentang senjata siber Flame yang canggih pertama kali muncul beberapa minggu yang lalu, perusahaan keamanan Rusia Kaspersky menunjukkan bahwa meskipun ada beberapa kesamaan yang dangkal, ada Tidak ada indikasi bahwa Flame memiliki banyak kesamaan dengan Stuxnet, sebuah senjata perangkat lunak yang secara khusus menargetkan upaya pengayaan uranium Iran dan kemudian lolos ke dalam sistem. liar. Sekarang, Kaspersky mengatakan hal itu salah: Perusahaan tersebut mengklaim telah mengungkapnya kode bersama yang menunjukkan pencipta Flame dan Stuxnet setidaknya bekerja sama — dan bahkan mungkin orang yang sama.

Api punya menarik perhatian yang cukup besar di kalangan keamanan karena arsitekturnya yang canggih memungkinkan penyerang memasang modul yang disesuaikan dengan minat mereka pada sistem tertentu. Berbagai modul tampaknya melakukan tugas malware “normal” seperti memindai file pengguna dan mencatat penekanan tombol; Modul api juga ditemukan yang tampaknya mengambil tangkapan layar, menyalakan mikrofon audio untuk merekam audio, dan bahkan melakukan polling pada perangkat Bluetooth terdekat untuk mencari kontak dan informasi lainnya.

Video yang Direkomendasikan

Bukti? Ketika Stuxnet masih bebas roaming, sistem otomatis Kaspersky menangkap sesuatu yang tampak seperti varian Stuxnet. Ketika staf Kaspersky pertama kali melihatnya, mereka tidak benar-benar memahami mengapa sistem mereka mengira itu adalah Stuxnet, menganggapnya sebagai kesalahan, dan mengklasifikasikannya ulang dengan nama “Tocy.a.” Namun ketika Flame muncul, Kaspersky kembali mencari hal-hal yang mungkin menghubungkan Flame dengan Stuxnet — dan, lihatlah, ada varian Tocy.a yang tidak membuat masalah apa pun. nalar. Mengingat Flame, Kaspsersky mengatakan Tocy.a sebenarnya lebih masuk akal: ini adalah versi awal dari sebuah plug-in modul untuk Flame yang mengimplementasikan eksploitasi eskalasi hak istimewa zero-day (pada saat itu). jendela. Tocy.a memasuki sistem Kaspersky sejak bulan Oktober 2010, dan berisi kode yang dapat ditelusuri hingga tahun 2009.

“Kami pikir sangat mungkin untuk membicarakan platform 'Flame', dan modul khusus ini dibuat berdasarkan kode sumbernya,” tulis Alexander Gostev dari Kaspersky.

Jika analisis Kaspersky benar, hal ini menunjukkan bahwa “platform Flame” sudah aktif dan berjalan pada saat Stuxnet asli dibuat dan diluncurkan kembali pada awal hingga pertengahan tahun 2009. Perkiraan penanggalan ini dimungkinkan karena kode proto-Flame hanya muncul di versi pertama worm Stuxnet: Kode tersebut menghilang dari dua versi Stuxnet berikutnya yang muncul pada tahun 2010.

Kaspersky menyimpulkan bahwa platform Flame yang sangat modular berjalan pada jalur pengembangan yang berbeda dari Stuxnet, yang berarti setidaknya ada dua tim pengembangan yang terlibat. Namun kehadiran modul Flame versi awal tampaknya menunjukkan bahwa pengembang Stuxnet memiliki akses ke sana Kode sumber untuk eksploitasi Windows zero-day yang (pada saat itu) tidak diketahui oleh komunitas keamanan yang lebih luas. Artinya kedua tim bermain cukup ketat, setidaknya di satu poin.

The New York Times telah melaporkan bahwa Stuxnet diciptakan sebagai senjata siber oleh Amerika Serikat dan Israel dalam upaya menghambat aktivitas pengayaan uranium Iran. Sejak penemuan Flame dan analisis selanjutnya oleh perusahaan keamanan komputer, pembuat Flame telah melakukannya rupanya mengirimkan perintah “bunuh diri” ke beberapa sistem yang terinfeksi api dalam upaya menghilangkan jejaknya perangkat lunak.

Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.