Quando un paio di settimane fa si è sparsa la voce della sofisticata arma informatica Flame, la società di sicurezza russa Kaspersky ha indicato che, nonostante alcune somiglianze superficiali, esiste non c’era alcuna indicazione che Flame avesse molto in comune con Stuxnet, un’arma software che mirava specificatamente agli sforzi di arricchimento dell’uranio dell’Iran e poi fuggiva nel selvaggio. Ora, Kaspersky dice che era sbagliato: l’azienda afferma di aver scoperto codice condiviso che indica che i creatori di Flame e Stuxnet almeno hanno lavorato insieme - e potrebbero anche essere le stesse persone.
La fiamma ha attirato notevole attenzione negli ambienti della sicurezza per la sua sofisticata architettura consente agli aggressori di installare moduli su misura per il loro interesse in un particolare sistema. Vari moduli sembrano eseguire attività malware "normali" come la scansione dei file degli utenti e la registrazione delle sequenze di tasti; Sono stati trovati anche moduli Flame che sembrano acquisire schermate, accendere microfoni audio per registrare audio e persino interrogare i dispositivi Bluetooth vicini per contatti e altre informazioni.
Video consigliati
La prova? Ai tempi in cui Stuxnet era in roaming gratuito, i sistemi automatizzati di Kaspersky rilevarono qualcosa che sembrava una variante di Stuxnet. Quando lo staff di Kaspersky lo ha esaminato inizialmente, non riusciva a capire perché i loro sistemi pensassero che fosse Stuxnet, presumessero che fosse un errore e lo riclassificassero sotto il nome "Tocy.a." Quando è apparso Flame, tuttavia, Kaspersky è tornato a cercare cose che potessero collegare Flame a Stuxnet - ed ecco, ecco la variante Tocy.a che non ha creato alcun senso. Alla luce di Flame, Kaspsersky afferma che Tocy.a in realtà ha più senso: è una prima versione di un plug-in modulo per Flame che implementa quello che (all'epoca) era un exploit di escalation dei privilegi zero-day in Finestre. Tocy.a è entrato nei sistemi di Kaspersky già nell'ottobre del 2010 e contiene codice che può essere fatto risalire al 2009.
"Pensiamo che sia effettivamente possibile parlare di una piattaforma 'Flame' e che questo particolare modulo sia stato creato basandosi sul suo codice sorgente", ha scritto Alexander Gostev di Kaspersky.
Se l’analisi di Kaspersky fosse corretta, ciò indicherebbe che la “piattaforma Flame” era già attiva e funzionante quando l’originale Stuxnet fu creato e rimesso in libertà nella prima metà del 2009. La datazione approssimativa è possibile perché il codice proto-Flame appare solo nella prima versione del worm Stuxnet: è scomparso da due versioni successive di Stuxnet apparse nel 2010.
Kaspersky deduce che la piattaforma altamente modulare Flame ha proceduto su un percorso di sviluppo diverso da Stuxnet, il che significa che erano coinvolti almeno due team di sviluppo. Ma il regalo di quella prima versione di un modulo Flame sembra indicare che gli sviluppatori di Stuxnet avevano accesso codice sorgente per un vero exploit Windows zero-day che era (a quel punto) sconosciuto alla più ampia comunità di sicurezza. Ciò significa che le due squadre erano piuttosto unite, almeno ad un certo punto.
Lo riferisce il New York Times che Stuxnet è stato creato come arma informatica dagli Stati Uniti e da Israele nel tentativo di ostacolare le attività di arricchimento dell’uranio dell’Iran. Dalla scoperta di Flame e dalla sua successiva analisi da parte delle società di sicurezza informatica, i creatori di Flame hanno apparentemente ha inviato un comando di “suicidio” ad alcuni sistemi infetti da Flame nel tentativo di rimuovere le tracce del Software.
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
