Над вредоносными программами Flame и Stuxnet работала одна и та же группа специалистов

Москва. 13 июня. Kazakhstan Today - Эксперты Лаборатории Касперского установили, что над вредоносными программами Flame и Stuxnet работала одна и та же группа специалистов, передает Kazakhstan Today.

Лаборатория Касперского объявляет о появлении новых подробностей в истории расследования инцидента, связанного с вредоносной программой Flame, которую эксперты считают самым сложным на сегодняшний день набором инструментов для кибершпионажа. В ходе исследования кода Flame было установлено, что ранняя версия одного из модулей на платформе Flame использовалась в коде компьютерного червя Stuxnet. В настоящий момент все факты указывают на то, что в определенное время над вредоносными программами работала одна и та же группа специалистов", - сообщили в информационной службе "Лаборатории Касперского".

Stuxnet впервые в истории использовался в качестве кибероружия для выведения из строя промышленных объектов. Известно о черве стало в июне 2010 года после того, как он был обнаружен на компьютерах пользователей. Первая же версия Stuxnet, о которой известно на сегодняшний день, была создана примерно годом ранее.

Следующим инцидентом, который также можно классифицировать как эпизод кибервойны, стало обнаружение в сентябре 2011 года троянца Duqu, целью которого было похищение конфиденциальной информации (кибершпионаж). В ходе детального исследования троянца было выявлено наличие ряда общих черт со Stuxnet и установлено, что обе вредоносные программы были созданы на единой платформе, получившей название Tilded.

Flame был обнаружен экспертами Лаборатории Касперского в мае 2012 года в ходе расследования, инициированного Международным союзом электросвязи (ITU). Программа-шпион была найдена в ряде стран, преимущественно относящихся к ближневосточному региону. На первый взгляд Flame не имел ничего общего с исследованными ранее образцами Stuxnet и Duqu. Однако результаты последнего исследования доказывают, что разработчики платформ Tilded и Flame сотрудничали, а Stuxnet содержит в своем ресурсе компонент на платформе Flame.

"Flame и Tilded являются разными платформами, созданными для разработки различных видов кибероружия. Каждая из них имеет свою архитектуру, уникальные способы проникновения в систему и выполнения поставленной задачи. Мы по-прежнему считаем, что проекты велись независимо. Однако теперь у нас есть доказательство того, что Stuxnet/Duqu и Flame связаны друг с другом, поскольку на ранней стадии разработки команды использовали один и тот же исходный код по крайней мере в одном модуле", - комментирует результаты исследования главный антивирусный эксперт Лаборатории Касперского Александр Гостев.

Краткие результаты исследования:

И В коде Stuxnet 2009 года использовался модуль (известный под названием "ресурс 207"), относящийся к платформе Flame. Вероятно, он был создан специально для работы в составе Stuxnet.

И Это означает, что во время создания червя Stuxnet в начале 2009 года платформа Flame уже существовала, а также то, что в 2009 году исходный код по крайней мере одного из модулей Flame был использован в Stuxnet.

И Этот модуль использовался для заражения через USB-накопители. Механизм заражения через USB, использовавшийся во Flame и Stuxnet, идентичен.

И Модуль Flame в Stuxnet содержал эксплойт к неизвестной на тот момент уязвимости для повышения привилегий. Предположительно, MS09-025.

И Позже, в 2010 году, модуль Flame был удален из Stuxnet и заменен несколькими разными модулями, которые использовали новые уязвимости.

И Начиная с 2010 года, работа над платформами шла независимо. Однако существует предположение, что разработчики могли обмениваться информацией об уязвимостях нулевого дня.

При использовании информации гиперссылка на информационное агентство Kazakhstan Today обязательна. Авторские права на материалы агентства.