image

Relatie tussen Flame-virus en Stuxnet ontdekt

maandag 11 juni 2012, 16:05 door Redactie, 3 reacties

In tegenstelling tot wat eerder werd beweerd, is er wel een relatie tussen het geavanceerde Flame spionagevirus en Stuxnet. Dat laat Kaspersky Lab analist Aleks Gostev weten. In eerste instantie zagen experts geen verband tussen Flame aan de ene kant en Stuxnet en Duqu aan de andere kant. De laatste twee 'supervirussen' werden op het Tilded-platform ontwikkeld. Daarnaast verschilde de werking van Flame ook dusdanig van Stuxnet en Duqu, dat werd aangenomen dat er geen relatie was. Nu blijkt er toch een link te zijn.

De analisten ontdekten namelijk dat een module uit de 2009-versie van Stuxnet - bekend als “Resource 207” - eigenlijk een Flame-plugin was. Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet. Deze module zorgde voor de verspreiding via USB-sticks en de code van het USB-infectiemechanisme is in Flame en Stuxnet identiek.

Module
De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025. Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.

Volgens Gostev hebben vanaf 2010 de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe zero-day lekken.

Relatie
"Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platforms zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen", zegt Gostev. Hij denkt dat de teams al sinds 2007 of 2008 met de ontwikkeling van de malware bezig zijn.

"Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn."

Windows Update
"Als Flame in de VS is ontwikkeld, zou het betekenen dat Microsoft Update door een Amerikaanse overheidsdienst is gehackt. Microsoft zal laaiend zijn", zegt Mikko Hypponen van het Finse F-Secure. Hij sluit niet uit dat er ook met insiders is gewerkt om de werking van de Microsoft software te bestuderen. "Hoeveel NSA-mollen werken als ontwikkelaar bij Microsoft?"

Reacties (3)
11-06-2012, 17:19 door Anoniem
Dat hoeven niet per se mollen te zijn, ik ben er van overtuigt dat de 3 letter organisaties in de US voldoende druk uit kunnen oefenen op MS.
11-06-2012, 18:55 door [Account Verwijderd]
[Verwijderd]
12-06-2012, 23:24 door Anoniem
Zowel Stuxnet als Flame zijn vrijwel zeker door dezelfde lieden ontwikkeld.Vrijwel zeker gaat het hier om de VS,Israel en de NAVO-landen.Het zou mij niet verbazen als ook Nederland hierbij betrokken is.Deze malware werdt/wordt niet alleen ingezet tegen zgn.(mogelijk) vijandige landen als Iran,Syrie,China,N-Korea,Rusland,maar ook (en dat vindt ik het meest enge en kwalijke!) tegen de eigen burgers,en wel degenen die kritiek oefenen op het beleid van het westen t.o.v. de arabische wereld en moslims,tegen degenen die de palestijnen en bijv.ook iran steunen,en tegen bijv. millieuactivisten,vredesactivisten,anti-kernwapen activisten enz.Het lijkt wel de USSR van weleer.Alleen dit is het zgn.vrije westen,haha vrij alleen in naam.We leven in de EUSSR en aan de andere kant vd oceaan in de USSSR.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.