El enfoque para el desarrollo de Flame y Duqu/Stuxnet fue distinto, por lo que se llegó a la conclusión de que estos proyectos fueron creados por equipos separados. Sin embargo, una profunda investigación llevada a cabo por expertos de Kaspersky Lab, revela que estos equipos cooperaron al menos una vez durante las primeras etapas de desarrollo.
Principales datos:
Principales datos:
Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame
Cuando el gusano Stuxnet fue creado (2009), la plataforma de Flame ya existía y se confirma que el código fuente de al menos un módulo de Flame fue utilizado en Stuxnet
Este módulo se utilizaba para propagar el ataque a través de dispositivos USB. El código del mecanismo de infección del USB es idéntico en Flame y Stuxnet
El módulo de Flame en Stuxnet también explota una vulnerabilidad que no se conocía en ese momento y que permitió una escalada de privilegios, probablemente MS09-025
Posteriormente, el módulo plugin de Flame fue retirado de Stuxnet en 2010 y sustituido por varios módulos diferentes que utilizaban otras nuevas vulnerabilidades
A partir de 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación sólo se producía para el intercambio del know-how sobre las nuevas vulnerabilidades "zero-day"
Más a fondo:
Stuxnet fue la primer ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PCs en todo el mundo condujo a su descubrimiento en junio de 2010, aunque la versión más antigua conocida de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es Duqu y fue descubierto en septiembre de 2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en puerta trasera del sistema infectado y robar información privada (ciberespionaje).
Durante el análisis de Duqu, se descubrieron grandes similitudes con Stuxnet, que revelaron que los dos han utilizado la misma plataforma de ataque, conocida como la "Plataforma Tilded". El nombre procede de las preferencias de los desarrolladores de malware para nombres de archivo "~ * d *." - por lo tanto, "Tilde-d". El malware Flame era, a primera vista, completamente diferente. Algunas funciones como el tamaño del programa malicioso, el uso de lenguaje de programación Lua y su funcionalidad, indicaban en un primer momento que Flame no estaba conectado a los creadores de Duqu o Stuxnet. Sin embargo, la nueva investigación ha hecho que se reescriba la historia de Stuxnet para poder demostrar sin lugar a dudas, que el "Tilded" es la plataforma de ataque conectada a la plataforma de Flame.
Nuevos hallazgos
La primera versión conocida de Stuxnet contiene un módulo especial conocido como "Recurso 207". En la versión posterior de 2010, este módulo Stuxnet fue eliminado por completo. El "Recurso 207" es un archivo DLL cifrado que contiene un archivo ejecutable que, según ha mostrado la investigación de Kaspersky Lab, tiene mucho en común con el código utilizado en Flame. La lista de notables semejanzas incluye los nombres de los objetos que se excluyen mutuamente, el algoritmo usado para descifrar las cadenas y los enfoques similares a los de nombre de archivo.
Además, la mayoría de las secciones de código parecen ser idénticas o similares entre Stuxnet y los módulos de Flame, lo que nos lleva a la conclusión de que el intercambio entre Flame y los equipos Duqu/Stuxnet se hizo en forma de código fuente (es decir, no en forma binaria). La funcionalidad principal de "Recurso 207" de Stuxnet fue la distribución de la infección de una máquina a otra, utilizando las unidades extraíbles USB y la explotación de vulnerabilidad en el kernel de Windows para obtener privilegios en el sistema. El código que se encarga de la distribución de malware utilizando unidades USB es idéntico al utilizado en Flame.
Alexander Gostev, Director de Expertos en Seguridad de Kaspersky Lab, comenta: "A pesar de los hechos descubiertos, estamos seguros de que Flame y Tilded son plataformas completamente diferentes, que se utilizan para desarrollar múltiples ciberarmas. Cada uno tiene diferentes arquitecturas, sin embargo, en nuevo análisis revela cómo los equipos de trabajo compartieron el código fuente de al menos un módulo en las primeras etapas de desarrollo. Lo que hemos encontrado es una evidencia muy clara de que Stuxnet / Duqu y Flame son armas cibernéticas conectadas".
Fuente | Kaspersky
No hay comentarios:
Publicar un comentario