Samenwerking tussen Stuxnet en Flame

Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

In een vroege versie van Stuxnet werd een onderdeel van het …

In een vroege versie van Stuxnet werd een onderdeel van het recente Flame teruggevonden, wat wijst op een samenwerking tussen de ontwikkelaars, aldus Kaspersky Lab.

In een blogpost meldt Kaspersky Lab dat in een eerste versie van Stuxnet (Stuxnet.a) een module van het recent ontdekte Flame werd gevonden. Uit een analyse bleek dat blijkbaar dezelfde broncode werd aangewend, wat er volgens Roel Schouwenberg, senior researcher bij Kaspersky Lab, op wijst dat minstens bij die gelegenheid er een nauwe samenwerking was tussen de beide groepen ontwikkelaars.

Kaspersky Lab vond de overkomst bij een hernieuwde studie van oude logs, waaruit bleek dat een stukje Flame-gelijkende ‘malware’ (Tocy.a) oorspronkelijk als een versie van Stuxnet was aangeduid. De gelijkenis was niet eerder opgevallen, omdat de meeste studies van Stuxnet op latere versies van de malware werden uitgevoerd. Dat had dan ook tot een eerste – en dus blijkbaar foute – conclusie geleid dat Flame en de Stuxnet/DuQu malware niets met elkaar te maken haddan.

Concreet blijkt ‘resource 207’ in die vroege versie van Stuxnet.a, onder meer verantwoordelijk voor het verspreidingsmechanisme van Stuxnet (via usb-sticks), in wezen een Flame ‘plug-in’ te zijn. De module maakte tevens gebruik van een vijfde, op dat ogenblik nog niet herstelde ‘zero day’ MS-kwetsbaarheid (MS09-025). Een en ander betekent dat Flame al voor Stuxnet bestond, en in 2009 al voldoende matuur was om in andere malware te worden aangewend. Bovendien plaatst het Flame in dezelfde klasse van Stuxnet/DuQu, als een regelrecht cyberwapen.

Later verdween deze module uit Stuxnet, wat erop wijst dat de twee teams vervolgens hun eigen weg zijn gegaan. Maar, stelt Vitaly Kamlyk bij Kaspersky Lab, het zegt allicht wat over de betrokken organisatie, met wellicht meer dan één team of departement, en waar ook het Stuxnet team deel van uitmaakt. Dat kan allicht worden gekoppeld aan de algemeen aanvaarde opinie dat Stuxnet en nu ook Flame door uiterst onderlegde teams in opdracht van een overheid werden ontwikkeld.

Kasperky Lab onderstreept tevens dat de nieuwe bevindingen, in combinatie met de onlangs gevonden MD5 hash collision attack in deze malware, erop wijzen dat het uitdrukkelijk om gesofisticeerde cyberwapens gaat, waar er helemaal geen regels over bestaan inzake gebruik. Eugene Kasperski, ceo van Kaspersky Lab, heeft al bij herhaling opgeroepen om terzake internationale afspraken te maken.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content