‘Stuxnet en Flame van dezelfde makers’
Het verhaal rond de Flame-malware wordt met de dag fascinerender. Onderzoekers van Kaspersky presenteerden maandag bewijs dat Flame samen met Stuxnet ontwikkeld is.
Uit een analyse van Kaspersky Labs blijkt dat een onderdeel van de Flame-malware, die onlangs een doelgerichte aanval uitvoerde op pc’s in het Midden-Oosten, ook al in Stuxnet zat. De ontdekking verbindt de twee doelgerichte aanvallen en maakt het waarschijnlijker dat ze onderdeel zijn van één grote cyberaanval, toegeschreven aan de Verenigde Staten en Israël.
Stuxnet is opgebouwd uit verschillende modules. Een daarvan, Resource 207, werd gebruikt om het virus via autorun.inf op usb-sticks te verspreiden. Na onderzoek blijkt nu dat een module van Resource 207 heel erg lijkt op een onderdeel van Flame, al de modules zijn niet identiek.
Dat wijst op het delen van broncode in een vroeg stadium. Flame heeft niet eenvoudigweg de complete module van Stuxnet overgenomen, maar op basis van de broncode wijzigingen aangebracht. Hierbij werd gebruikt gemaakt van een op dat moment onbekende zero-day exploit.
In 2010 is de nu in Flame teruggevonden module uit Stuxnet verwijderd en vervangen door modules die gebruik maken van nieuwe exploits. De makers van Flame en Stuxnet hebben volgens Kaspersky vanaf dat moment nog wel samengewerkt, maar alleen met het delen van exploits. Bewijzen voor verdere code-uitwisselingen zijn niet gevonden.
