Verband tussen Stuxnet en Flame trojans
De code waarmee de Flame-trojan zichzelf verspreidde met behulp van usb-sticks, is vrijwel identiek aan die van Stuxnet. Dat heeft Kaspersky ontdekt.
De teams die beide trojans hebben ontwikkeld, hebben in ieder geval één keer in het beginstadium van de ontwikkeling samengewerkt. Ondanks nieuwe feiten is Kaspersky ervan overtuigd dat Flame en Tilded compleet verschillende platforms zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen. Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren.
Stuxnet was het eerste cyberwapen dat zich richtte op industriële faciliteiten. Omdat Stuxnet ook wereldwijd reguliere PC’s infecteerde, werd het in juni 2010 ontdekt. De oudste versie van Stuxnet die bekend is, stamt uit 2009. Het tweede voorbeeld van een cyberwapen, bekend als Duqu, werd ontdekt in september 2011. In tegenstelling tot Stuxnet werd Duqu gebruikt als achterdeur in besmette systemen waarmee gevoelige gegevens werden gestolen (cyberspionage).
Tijdens de analyse van Duqu werden sterke overeenkomsten met Stuxnet gevonden waaruit bleek dat de twee cyberwapens gebruik maakten van hetzelfde aanvalsplatform, het “Tilded platform”. De naam komt van de voorkeur van de ontwikkelaars om bestandsnamen te gebruiken in de vorm “~d*.*” – vandaar “Tilde-d”. Flame, dat ontdekt werd in mei 2012 na onderzoek in opdracht van de International Communications Union (ITU) en uitgevoerd door Kaspersky Lab, leek in eerste oogopslag compleet verschillend. Bepaalde eigenschappen, zoals de grootte van de malware, het gebruik van LUA-programmeertaal en de verschillende functionaliteiten, deden vermoeden dat er geen relatie was tussen Flame en de makers van Stuxnet/Duqu. De nieuwe feiten wijzen echter zonder twijfel uit dat het Tilded-platform inderdaad iets te maken heeft met het Flame-platform.
De eerste bekende versie van Stuxnet, waarvan wordt aangenomen dat deze in juni 2009 is gecreëerd, bevat een speciale module genaamd “Resource 207”. Deze module is in latere versies van Stuxnet volledig verwijderd. De Resource 207-module is een gecodeerd DLL-bestand en bevat een uitvoerbaar bestand met een grootte van 351,768 bytes met de naam “atmpsvcn.ocx”. Dit specifieke bestand heeft een hoop gemeen met de code die wordt gebruikt in Flame, ontdekten onderzoekers van Kaspersky Lab. De lijst van opvallende overeenkomsten bevat onder andere namen van dezelfde exclusieve objecten, het algoritme dat wordt gebruikt om strings te ontcijferen en een vergelijkbare aanpak in het geven van bestandsnamen.
Belangrijker is dat de meeste secties uit de code identiek of vergelijkbaar zijn in de Stuxnet- en Flame-modules. Dit wijst erop dat de uitwisseling tussen de teams van Flame en Duqu/Stuxnet gebeurde in de vorm van broncode (dus niet in binaire vorm). De hoofdtaak van Stuxnet’s Resource 207-module was het verspreiden van de infectie van het ene naar het andere systeem via USB-drives en het misbruik maken van kwetsbaarheden in Windows kernel om verhoogde rechten te krijgen binnen het systeem. De code die verantwoordelijk is voor het verspreiden van malware via USB-drives is helemaal identiek ten opzichte van die in Flame.