Flame, cea mai mare armă cibernetică ar putea fi creaţia SUA şi a Israelului

Eugene Kaspersky, fondatorul celei mai mari companii de soluţii de securitate din Europa, a descoperit arma cibernetică Flame, care a afectat compuetere din Iran şi Orientul Mijlociu, a recunoscut că virusul este atât de sofisticat pe care îl pot crea autorităţile guvernamentale, informează New York Time.

Acesta a mai recunoscut că virusul, care poate fi comparat cu Stuxnet, costruit de programatori angajaţi de Statele Unite ale Americii şi Israel, întăreşte temerile sale că guvernele crează şi eliberează viruşi pe internet.

Abordările Flame, respectiv Duqu/Stuxnet erau diferite, aspect care a dus la concluzia că aceste proiecte au fost realizate de grupări separate. Cu toate acestea, în urma unei analize de profunzime a celor doua programe, experţii Kaspersky Lab dezvăluie că echipele responsabile pentru crearea acestor ameninţări informatice au colaborat cel puţin o dată în timpul etapei de dezvoltare.

Viermele Stuxnet a fost prima armă cibernetică ce ţintea obiective industriale. Faptul că acesta infecta şi sisteme PC obişnuite din întreaga lume a dus la identificarea sa în iunie 2010, cu toate că cea mai veche versiune Stuxnet era datată cu un an în urmă. Următorul exemplu de armă cibernetică a fost Duqu, descoperit în septembrie 2011. Spre deosebire de Stuxnet, principalul scop al troianului Duqu era să acţioneze ca un backdoor pe sistemul infectat şi să fure informaţii confidenţiale (spionaj cibernetic).

În timpul analizei Duqu au fost descoperite similitudini cu viermele Stuxnet, care au dezvăluit faptul că cele două arme cibernetice au fost create folosind aceeaşi platformă de atac, cunoscută sub numele de „Tilded Platform”. Virusul Flame, descoperit în luna mai 2012 în urma investigaţiei conduse de Kaspersky Lab şi iniţiate la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), era, la prima vedere, complet diferit.

O serie de caracteristici, precum mărimea malware-ului, utilizarea limbajului de programare Lua şi funcţionalităţile variate nu indicau nicio conexiune cu Duqu sau Stuxnet. Însă, ultimele descoperiri rescriu istoria Stuxnet şi demonstrează, fără niciun fel de îndoială, că platforma „Tilded” este conectată cu platforma Flame.

O versiune mai veche de Stuxnet, despre care se presupune că a fost creată în iunie 2009, conţine un modul special, numit „Resource 207”. În versiunea din 2010 a viermelui Stuxnet, acest modul a fost complet înlăturat. „Resource 207” este un modul criptat, şi conţine un executabil cu numele „atmpsvcn.ocx”, cu o mărime de 351.768 bytes.

Acest fişier, scos acum la lumină de investigaţia Kaspersky Lab, are foarte multe lucruri în comun cu Flame. Printre similitudini se numără numele unor componente, algoritmul folosit pentru decriptarea sirurilor de caractere şi abordările similare de numire a fişierelor.

În plus, majoritatea secţiunilor de cod din modulele Stuxnet şi Flame par a fi identice sau asemănătoare, detaliu care duce la concluzia că „schimburile” dintre echipele care au creat cele două arme cibernetice s-au făcut direct la nivel de cod sursă. Funcţionalitatea primară a modulului „Resource 207” din Stuxnet era distribuirea infecţiei de la un computer la altul, prin folosirea dispozitivelor USB şi exploatarea unei vulnerabilităţi din kernel-ul Windows, pentru a obţine escaladarea privilegiilor pe sistemul infectat. Codul responsabil pentru distribuirea de malware prin dispozitivle USB este complet identic cu cel folosit în Flame.

„În ciuda noilor descoperiri, suntem convinşi de faptul că platformele Flame şi Tilded sunt complet diferite, utilizate pentru crearea de multiple arme ciberneticeb. „Fiecare platformă are o arhitectură diferită, cu propriile trucuri, folosite pentru a infecta sisteme şi a executa sarcini primare. Într-adevăr, proiectele au fost separate şi independente unul de celălalt, însă, noile descoperiri relevă că cele două echipe au împărţit codul sursă al cel puţin unui modul în timpul procesului iniţial de dezvoltare. Aşadar, au colaborat cel puţin o dată. Tot ceea ce am aflat stă drept dovadă a faptului că există o legătură între armele cibernetice Stuxnet/Duqu şi Flame”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab