Kaspersky: Cyberweapons Flame ve Stuxnet paylaşım kodu

Kötü amaçlı yazılım siber silahını alevlendirin

Gelişmiş Alev siber silahının haberi birkaç hafta önce ilk kez ortaya çıktığında, Rus güvenlik firması Kaspersky, bazı yüzeysel benzerliklere rağmen, Flame'in, özellikle İran'ın uranyum zenginleştirme çabalarını hedef alan ve daha sonra İran'a kaçan bir yazılım silahı olan Stuxnet ile pek fazla ortak noktası olduğuna dair bir gösterge yoktu. vahşi. Kaspersky şimdi bunun yanlış olduğunu söylüyor: Firma, ortaya çıkardığı iddiasında Flame ve Stuxnet'in yaratıcılarının en azından birlikte çalıştığını gösteren paylaşılan kod - ve hatta aynı kişiler bile olabilir.

Alev var büyük ilgi gördü Gelişmiş mimarisi nedeniyle güvenlik çevrelerinde, saldırganların belirli bir sistemdeki ilgilerine göre uyarlanmış modüller kurmasına olanak tanır. Kullanıcıların dosyalarını taramak ve tuş vuruşlarını günlüğe kaydetmek gibi "normal" kötü amaçlı yazılım görevlerini gerçekleştiren çeşitli modüller görünmektedir; Ayrıca ekran görüntüleri alan, ses kaydetmek için ses mikrofonlarını açan ve hatta kişiler ve diğer bilgiler için yakındaki Bluetooth cihazlarını yoklayan alev modülleri de bulundu.

Önerilen Videolar

Kanıt? Stuxnet serbest dolaşımdayken Kaspersky'nin otomatik sistemleri Stuxnet'in bir versiyonuna benzeyen bir şeyi tespit etti. Kaspersky ekibi ilk başta buna baktığında sistemlerinin neden bunun Stuxnet olduğunu düşündüğünü anlayamadılar, bunun bir hata olduğunu varsaydılar ve onu şu adla yeniden sınıflandırdılar: "Tacy.a." Ancak Flame ortaya çıktığında Kaspersky, Flame'i Stuxnet'e bağlayabilecek şeyleri aramak için geri döndü ve işte Tocy. algı. Flame'in ışığında Kaspsersky, Tocy.a'nın aslında daha anlamlı olduğunu söylüyor: Bu, bir eklentinin erken sürümü Flame için (o zamanlar) sıfır gün ayrıcalık yükseltme istismarını uygulayan modül Pencereler. Tocy.a, Ekim 2010'da Kaspersky'nin sistemlerine sızmıştı ve 2009'a kadar izlenebilecek kodlar içeriyordu.

Kaspersky'den Alexander Gostev, "Aslında bir 'Flame' platformundan bahsetmenin mümkün olduğunu ve bu özel modülün kaynak koduna göre oluşturulduğunu düşünüyoruz" diye yazdı.

Kaspersky'nin analizi doğruysa, bu, orijinal Stuxnet oluşturulduğunda ve 2009'un başından ortasına kadar serbest bırakıldığında "Flame platformunun" zaten çalışır durumda olduğunu gösteriyor. Proto-Flame kodu Stuxnet solucanının yalnızca ilk sürümünde göründüğü için yaklaşık bir tarihleme mümkün: 2010'da ortaya çıkan Stuxnet'in sonraki iki sürümünden kayboldu.

Kaspersky, son derece modüler Flame platformunun Stuxnet'ten farklı bir geliştirme yolunda ilerlediğini, yani en az iki geliştirme ekibinin dahil olduğu sonucunu çıkarıyor. Ancak Flame modülünün ilk versiyonunun mevcut olması, Stuxnet geliştiricilerinin erişime sahip olduğunu gösteriyor gibi görünüyor. kaynak kodu (o noktada) daha geniş güvenlik topluluğu tarafından bilinmeyen gerçek bir sıfır gün Windows istismarı için. Bu, iki takımın en azından bir noktada oldukça sıkı olduğu anlamına geliyor.

New York Times bildirdi Stuxnet'in, İran'ın uranyum zenginleştirme faaliyetlerini engellemek amacıyla ABD ve İsrail tarafından bir siber silah olarak yaratıldığı belirtildi. Flame'in keşfedilmesinden ve ardından bilgisayar güvenlik firmaları tarafından analiz edilmesinden bu yana, Flame'in yaratıcıları Görünüşe göre Alev'in bulaştığı bazı sistemlere, izlerini ortadan kaldırmak amacıyla bir "intihar" komutu göndermiş. yazılım.

Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.