Toen het bericht over het geavanceerde Flame-cyberwapen een paar weken geleden voor het eerst naar buiten kwam, gaf het Russische beveiligingsbedrijf Kaspersky aan dat er, ondanks enkele oppervlakkige overeenkomsten, Er was geen indicatie dat Flame veel gemeen had met Stuxnet, een softwarewapen dat zich specifiek richtte op de inspanningen van Iran om uranium te verrijken en vervolgens ontsnapte naar de Verenigde Staten. wild. Nu zegt Kaspersky dat het verkeerd was: het bedrijf beweert dit ontdekt te hebben gedeelde code die aangeeft dat de makers van Flame en Stuxnet op zijn minst hebben samengewerkt – en misschien zelfs dezelfde mensen.
Vlam heeft trok veel aandacht in veiligheidskringen stelt het aanvallers vanwege de geavanceerde architectuur in staat modules te installeren die zijn afgestemd op hun interesse in een bepaald systeem. Verschillende modules lijken ‘normale’ malwaretaken uit te voeren, zoals het scannen van gebruikersbestanden en het registreren van toetsaanslagen; Er zijn ook vlammodules gevonden die schermafbeeldingen lijken te maken, audiomicrofoons aanzetten om audio op te nemen en zelfs Bluetooth-apparaten in de buurt opvragen voor contacten en andere informatie.
Aanbevolen video's
Het bewijs? Toen Stuxnet nog vrij rondzwierf, pikten de geautomatiseerde systemen van Kaspersky iets op dat leek op een Stuxnet-variant. Toen de medewerkers van Kaspersky er in eerste instantie naar keken, konden ze niet echt begrijpen waarom hun systemen dachten dat het Stuxnet was. Ze gingen ervan uit dat het een fout was en herclassificeerden het onder de naam “Tocy.a.” Toen Flame echter verscheen, ging Kaspersky terug op zoek naar dingen die Flame met Stuxnet zouden kunnen verbinden – en zie, daar was de Tocy.a-variant die geen enkel resultaat opleverde. gevoel. In het licht van Flame zegt Kaspsersky dat Tocy.a eigenlijk logischer is: het is een vroege versie van een plug-in module voor Flame die implementeert wat (destijds) een zero-day escalatie-exploit voor privileges was Ramen. Tocy.a dwaalde al in oktober 2010 de systemen van Kaspersky binnen en bevat code die terug te voeren is tot 2009.
“We denken dat het daadwerkelijk mogelijk is om over een ‘Flame’-platform te praten, en dat deze specifieke module is gemaakt op basis van de broncode”, schreef Alexander Gostev van Kaspersky.
Als de analyse van Kaspersky klopt, zou dit erop wijzen dat het ‘Flame-platform’ al operationeel was tegen de tijd dat het oorspronkelijke Stuxnet werd gemaakt en begin tot midden 2009 werd gelanceerd. De geschatte datering is mogelijk omdat de proto-Flame-code alleen voorkomt in de eerste versie van de Stuxnet-worm: deze verdween uit twee volgende versies van Stuxnet die in 2010 verschenen.
Kaspersky concludeert dat het zeer modulaire Flame-platform een ander ontwikkelingspad volgde dan Stuxnet, wat betekent dat er minstens twee ontwikkelingsteams bij betrokken waren. Maar het heden van die vroege versie van een Flame-module lijkt erop te wijzen dat de Stuxnet-ontwikkelaars er toegang toe hadden broncode voor een echte zero-day Windows-exploit die (op dat moment) onbekend was bij de bredere beveiligingsgemeenschap. Dat betekent dat de twee teams behoorlijk hecht waren, tenminste op een gegeven moment.
Dat meldt de New York Times dat Stuxnet door de Verenigde Staten en Israël als cyberwapen is gecreëerd in een poging de Iraanse uraniumverrijkingsactiviteiten te belemmeren. Sinds de ontdekking van Flame en de daaropvolgende analyse ervan door computerbeveiligingsbedrijven, hebben de makers van Flame dat gedaan blijkbaar een “zelfmoord”-commando gestuurd naar een aantal met Flame geïnfecteerde systemen in een poging om sporen van de software.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
