U maju, ove godine, objavljeno je da je virus Flame najsloženije sajber oružje današnjice. U momentu kada je otkriveno, nije postojalo čvrstih dokaza da su Flame stvorili isti oni koji su stvorili viruse Stuxnet i Duqu. Budući da je na različite načine posmatran razvoj virusa Flame i Duqu/Stuxnet, smatrano je da su ove viruse kreirali različiti timovi. Kako god, eksperti kompanije Kaspersky Lab uradili su detaljnije istraživanje i ustanovili da su pomenute viruse stvorili timovi koji su sigurno bar jednom sarađivali na početku njihovog razvoja.
Činjenice:
Kompanija Kaspersky Lab je otkrila da je verzija virusa Stuxnet iz rane 2009, poznatija kao „Resource 207“, u stvari bio Flame plug in.
To znači da kada je virus Stuxnet stvoren početkom 2009, platforma za Flame je već postojala i izvorni kod bar jednog modula programa Flame, korišćen je u programu Stuxnet.
Ovaj modul je korišćen da širi infekciju pomoću USB-a. Kod mehanizma infekcije preko USB-a identičan je za Flame i Stuxnet.
Modul Flame u programu Stuxnet takođe je iskoristio ranjivost koja je bila nepoznata do tada i omogućila je eskalaciju privilegija. Ranjivost je verovatno bila MS09-025.
Plugin modula programa Flame otklonjen je iz programa Stuxnet 2010. i zamenjen je sa nekoliko drugačijih modula koji su koristili nove ranjivosti.
Početkom 2010, dva tima su radila nezavisno, pod sumnjom da su jedino razmenjivali informacije o novim ranjivostima.
Šta je Stuxnet
Stuxnet je bilo prvo sajber oružje usmereno na industrijska postrojenja. Virus Stuxnet je takođe ugrožavao (inficirao) i kompjutere običnih korisnika širom sveta i tako je otkriven u junu 2010, iako je najranija verzija ovog štetnog programa stvorena godinu dana pre toga. Sledeći primer sajber oružja, danas poznatog kao Duqu, otkriven je u septembru 2011. Drugačiji od virusa Stuxnet, glavni zadatak virusa Duqu Trojan bio je da prikrije zaraženi sistem i da ukrade private informacije (sajber špijunaža).
Tokom analize virusa Duqu, pronađene su sličnosti sa virusom Stuxnet, i otkriveno je da su dva sajber oružja stvorena na istoj platformi poznatoj kao „Tilded Platform”. Tvorci štetnog softvera su izabrali to ime od oblika „~d*.*” – odatle i ovakav naziv. Virus Flame, kojeg su u maju 2012. otkrili Međunarodna unija za telekomunikacije (ITU) i kompanija Kaspersky Lab, bio je na prvi pogled skroz drugačiji. Neke karakteristike, kao što su veličina štetnog programa, upotreba programskog jezika LUI i različita funkcionalnost, išle su u prilog tome da tvorac virusa Flame nije povezan sa tvorcima virusa Duqu ili Stuxnet. Kako god, nova otkrića pokazuju da je platforma „Tilded” povezana sa platformom virusa Flame.
Nova saznanja
Nekada poznata verzija Stuxnet, navodno nastala u junu 2009, sadrži poseban modul poznat pod imenom „Resource 207“. U narednoj verziji Stuxneta 2010-te, ovaj modul je potpuno uklonjen. Modul „Resource 207“ je kodiran i sadrži izvršnu datoteku koja je veličine 351768 bajtova pod imenom „atmpsvcn.ocx“. Prema saznanjima kompanije Kaspersky Lab, ovaj fajl ima mnogo toga zajedničkog sa kodom koji se koristi u programu Flame. Lista zapanjujućih sličnosti obuhvata imena međusobno isključivih objekata, algoritam koji se koristi za deskribovanje niza podataka i pristupe imenovanju fajlova.
Većina delova koda su identični ili slični u odgovarajućim modulima virusa Stuxnet ili Flame što dovodi do zaključka da je razmena između timova koji su kreirali programe Flame i Duqu/Stuxnet obavljena u vidu izvornog koda (tj. ne u binarnom obliku). Osnovna funkcionalnost Modula Stuxnet „Resource 207“ jeste prenos infekcije sa jedne komponente na drugu, pomoću prenosnih USB drajvova i uz korišćenje ranjivosti jezgra Windows-a, kako bi bila dobijena eskalacija privilegija unutar sistema. Kod koji je odgovoran za distribuciju zlonamernog softvera pomoću USB drajva potpuno je identičan onome koji je korišćen u programu Flame.
Aleksander Gostev, vodeći ekspert za bezbednost u kompaniji Kaspersky Lab, komentariše: „Uprkos novootkrivenim činjenicama, uvereni smo da su Flame i Tilded potpuno različite platforme koje su korišćene za razvoj velikog broja sajber oružja. Svaka od njih ima različite arhitekture sa jedinstvenim trikovima koji su korišćeni da se sistemi zaraze i urade primarni zadaci. Projekti su bili zasebni i nezavisni jedan od drugog. Međutim, nova saznanja koja otkrivaju kako su timovi delili izvorni kod bar jednog modula u ranim fazama razvoja, potvrđuju da su timovi sarađivali bar jednom. Otkrili smo snažan dokaz da su Stuxnet/Duqu i Flame sajber oružja povezani“.
Izvor: Kaspersky Lab
Komentarišite na forumu…
Dodaj komentar