Da ordet om det sofistikerte Flame-cybervåpenet først kom ut for et par uker siden, indikerte det russiske sikkerhetsfirmaet Kaspersky at til tross for noen overfladiske likheter, var ingen indikasjon på at Flame hadde mye av noe til felles med Stuxnet, et programvarevåpen som spesifikt var rettet mot Irans innsats for anrikning av uran og deretter rømte inn i vill. Nå sier Kaspersky at det var feil: Firmaet hevder å ha avdekket delt kode som indikerer at skaperne av Flame og Stuxnet i det minste jobbet sammen - og kan til og med være de samme personene.
Flamme har vakte stor oppmerksomhet i sikkerhetskretser for sin sofistikerte arkitektur gjør det mulig for angripere å installere moduler som er skreddersydd for deres interesse for et bestemt system. Ulike moduler ser ut til å utføre "normale" skadevareoppgaver som å skanne gjennom brukernes filer og logge tastetrykk; Det er også funnet flammemoduler som ser ut til å ta skjermbilder, slå på lydmikrofoner for å ta opp lyd og til og med spørre nærliggende Bluetooth-enheter for kontakter og annen informasjon.
Anbefalte videoer
Beviset? Da Stuxnet streifet fritt, fanget Kasperskys automatiserte systemer opp noe som så ut som en Stuxnet-variant. Da Kasperskys ansatte først så på det, kunne de egentlig ikke forstå hvorfor systemene deres trodde det var Stuxnet, antok at det var en feil, og omklassifiserte det under navnet "Tocy.a." Da Flame dukket opp, gikk imidlertid Kaspersky tilbake for å se etter ting som kunne knytte Flame til Stuxnet - og se, der var Tocy.a-varianten som ikke skapte noen føle. I lys av Flame sier Kaspsersky at Tocy.a faktisk gir mer mening: det er en tidlig versjon av en plug-in modul for Flame som implementerer det som (den gang) var en null-dagers privilegieeskaleringsutnyttelse i Windows. Tocy.a vandret inn i Kasperskys systemer helt tilbake i oktober 2010, og inneholder kode som kan spores til 2009.
"Vi tror det faktisk er mulig å snakke om en "Flame"-plattform, og at denne spesielle modulen ble laget basert på kildekoden, skrev Kasperskys Alexander Gostev.
Hvis Kasperskys analyse er riktig, vil det indikere at "Flame-plattformen" allerede var oppe og gikk da det originale Stuxnet ble opprettet og satt løs tidlig til midten av 2009. Den omtrentlige dateringen er mulig fordi proto-Flame-koden bare vises i den første versjonen av Stuxnet-ormen: Den forsvant fra to påfølgende versjoner av Stuxnet som dukket opp i 2010.
Kaspersky utleder at den svært modulære Flame-plattformen fortsatte på en annen utviklingsvei enn Stuxnet, noe som betyr at det var minst to utviklingsteam involvert. Men nåtiden til den tidlige versjonen av en Flame-modul ser ut til å indikere at Stuxnet-utviklerne hadde tilgang til kildekode for en ekte zero-day Windows-utnyttelse som (på det tidspunktet) var ukjent for det bredere sikkerhetsfellesskapet. Det betyr at de to lagene var ganske tette, i det minste på ett tidspunkt.
Det har New York Times rapportert at Stuxnet ble opprettet som et nettvåpen av USA og Israel i et forsøk på å hindre Irans urananrikingsaktiviteter. Siden oppdagelsen av Flame og dens påfølgende analyse av datasikkerhetsfirmaer, har Flames skapere gjort det sendte tilsynelatende en "selvmordskommando" til noen Flame-infiserte systemer i et forsøk på å fjerne spor av programvare.
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
