11.06.2012
Cybercrime

Stuxnet en Flame zijn verbonden door ‘Resource 207’

By: Redactie Dutchcowboys

BlogCybercrime
stuxnet-en-flame-zijn-verbonden-door-res.jpg
stuxnet-en-flame-zijn-verbonden-door-res.jpg

De ontdekking van de Flame-malware vorige maand onthulde het meest complexe cyberwapen tot op heden. Ten tijde van de ontdekking waren er geen sterke bewijzen die de ontwikkelaars van Flame aan die van Stuxnet en Duqu koppelden. De manier waarop Flame ontwikkeld is verschilt met die van Duqu/Stuxnet, waardoor de conclusie werd getrokken dat ze door verschillende teams zijn gemaakt. Experts van Kaspersky Lab hebben echter ontdekt dat de teams in elk geval één keer hebben samengewerkt in het beginstadium van de ontwikkeling. De feiten in het kort:

– Kaspersky Lab heeft ontdekt dat een module uit de 2009-versie van Stuxnet – bekend als “Resource 207” – eigenlijk een Flame-plugin was.

– Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet.

– Deze module is gebruikt om de infectie te verspreiden via USB-drives. De code van het USB-infectiemechanisme in Flame en Stuxnet is identiek.

– De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025.

– Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.

– Vanaf 2010 hebben de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe “zero-day”-kwetsbaarheden.

Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platformen zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen,” zegt Alexander Gostev, Chief Security Expert van Kaspersky Lab. “Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn.

Stuxnet
Stuxnet was het eerste cyberwapen dat zich richtte op industriële faciliteiten. Omdat Stuxnet ook wereldwijd reguliere PC’s infecteerde, werd het in juni 2010 ontdekt. De oudste versie van Stuxnet die bekend is, stamt uit 2009. Het tweede voorbeeld van een cyberwapen, bekend als Duqu, werd ontdekt in september 2011. In tegenstelling tot Stuxnet werd Duqu gebruikt als achterdeur in besmette systemen waarmee gevoelige gegevens werden gestolen (cyberspionage). Tijdens de analyse van Duqu werden sterke overeenkomsten met Stuxnet gevonden waaruit bleek dat de twee cyberwapens gebruik maakten van hetzelfde aanvalsplatform, het “Tilded platform”. De nieuwe feiten wijzen zonder twijfel uit dat het Tilded-platform iets te maken heeft met het Flame-platform.

Nieuwe ontdekkingen
De eerste bekende versie van Stuxnet, waarvan wordt aangenomen dat deze in juni 2009 is gecreëerd, bevat een speciale module genaamd “Resource 207”. Deze module is in latere versies van Stuxnet volledig verwijderd. De Resource 207-module is een gecodeerd DLL-bestand en bevat een uitvoerbaar bestand met een grootte van 351,768 bytes met de naam “atmpsvcn.ocx”. Dit specifieke bestand heeft een hoop gemeen met de code die wordt gebruikt in Flame, ontdekten onderzoekers van Kaspersky Lab. De lijst van opvallende overeenkomsten bevat onder andere namen van dezelfde exclusieve objecten, het algoritme dat wordt gebruikt om strings te ontcijferen en een vergelijkbare aanpak in het geven van bestandsnamen.

Meer details over het onderzoek kunnen gelezen worden in het artikel op Securelist.com.

Share this post