När ordet om det sofistikerade Flame-cybervapnet först kom ut för ett par veckor sedan, indikerade det ryska säkerhetsföretaget Kaspersky att det trots vissa ytliga likheter var ingen indikation på att Flame hade mycket av något gemensamt med Stuxnet, ett mjukvaruvapen som specifikt riktade in sig på Irans urananrikningsinsatser och sedan flydde in i vild. Nu säger Kaspersky att det var fel: företaget påstår sig ha upptäckt delad kod som indikerar att skaparna av Flame och Stuxnet åtminstone arbetade tillsammans – och kan till och med vara samma personer.
Flame har väckte stor uppmärksamhet i säkerhetskretsar för sin sofistikerade arkitektur gör det möjligt för angripare att installera moduler som är skräddarsydda för deras intresse för ett visst system. Olika moduler verkar utföra "normala" skadliga uppgifter som att skanna igenom användarnas filer och logga tangenttryckningar; Flame-moduler har också hittats som verkar ta skärmdumpar, slå på ljudmikrofoner för att spela in ljud och till och med fråga närliggande Bluetooth-enheter efter kontakter och annan information.
Rekommenderade videor
Beviset? När Stuxnet strövade fritt, tog Kasperskys automatiserade system upp något som såg ut som en Stuxnet-variant. När Kasperskys personal först tittade på det kunde de inte riktigt förstå varför deras system trodde att det var Stuxnet, antog att det var ett fel och omklassificerade det under namnet "Tocy.a." När Flame dock dök upp gick Kaspersky tillbaka för att leta efter saker som kunde länka Flame till Stuxnet - och se, där var Tocy.a-varianten som inte gjorde någon känsla. I ljuset av Flame säger Kaspsersky att Tocy.a faktiskt är mer vettigt: det är en tidig version av en plug-in modul för Flame som implementerar vad som (på den tiden) var en noll-dagars privilegieskaleringsexploatering i Windows. Tocy.a vandrade in i Kasperskys system hela vägen tillbaka i oktober 2010 och innehåller kod som kan spåras till 2009.
"Vi tror att det faktiskt är möjligt att prata om en "Flame"-plattform och att just den här modulen skapades baserat på dess källkod, skrev Kasperskys Alexander Gostev.
Om Kasperskys analys är korrekt skulle det tyda på att "Flame-plattformen" redan var igång när det ursprungliga Stuxnet skapades och släpptes i början till mitten av 2009. Den ungefärliga dateringen är möjlig eftersom proto-Flame-koden bara visas i den första versionen av Stuxnet-masken: Den försvann från två efterföljande versioner av Stuxnet som dök upp 2010.
Kaspersky drar slutsatsen att den mycket modulära Flame-plattformen fortsatte på en annan utvecklingsväg än Stuxnet, vilket innebär att det var minst två utvecklingsteam inblandade. Men nutiden av den tidiga versionen av en Flame-modul verkar indikera att Stuxnet-utvecklarna hade tillgång till källkod för en verklig noll-dagars Windows-exploatering som (vid den tidpunkten) var okänd för den bredare säkerhetsgemenskapen. Det betyder att de två lagen var ganska tajta, åtminstone vid ett tillfälle.
Det har New York Times rapporterat att Stuxnet skapades som ett cybervapen av USA och Israel i ett försök att hämma Irans urananrikningsverksamhet. Sedan upptäckten av Flame och dess efterföljande analys av datorsäkerhetsföretag har Flames skapare gjort det skickade uppenbarligen ett "självmord"-kommando till några Flame-infekterade system i ett försök att ta bort spår av programvara.
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
