Stuxnet- und Flame-Entwickler kannten sich wohl

Zwischen den Entwicklern der Malwares Stuxnet und Flame gibt es offenbar eine Verbindung. Das mutmaßt das russische Sicherheits-Unternehmen Kapersky auf Grundlage eigener Analysen. Das Modul "Resource 207" aus der Stuxnet-Version 2009 sei demnach ein Plugin von Flame.
Flame wurde im Mai dieses Jahres entdeckt. Zunächst deutete wenig auf eine Verbindung zwischen den Entwicklerteams von Flame und Stuxnet/Duqu hin. Auch der Entwicklungsansatz war ein anderer. Daher ging man davon aus, dass die beiden Projekte von unterschiedlichen Teams durchgeführt wurden. Allerdings ergibt eine detailliertere Analyse ein etwas anderes Bild: Zumindest in der frühen Entwicklungsphase soll eine Kooperation stattgefunden haben.

Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als "Resource 207" bezeichnet worden ist. In der folgenden 2010er Version wurde dieses komplett entfernt. Bei dem Modul handelt es sich um eine verschlüsselte DLL-Datei, die eine ausführbare Datei namens "atmpsvcn.ocx" mit einer Größe von 351.768 Bytes beinhaltet.

Diese Datei, weist laut Kaspersky zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche MUTEX-Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.

Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Daraus zogen die Malware-Analysten die Schlussfolgerung, dass der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet in Form von Quellcode erfolgte. Die Hauptfunktion des "Resource 207"-Moduls in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, soll mit dem von Flame komplett identisch sein.

"Trotz der neuen Erkenntnisse gehen wir davon aus, dass Flame und Tilded komplett verschiedene Pattformen sind, die bei der Entwicklung von verschiedenen Cyberwaffen genutzt wurden", sagte Alexander Gostev, Chief Security Expert bei Kaspersky Lab. "Beide weisen verschiedene Architekturen sowie einzigartige Tricks auf, die bei der Systeminfizierung und der Ausführung ihrer Hauptaufgaben genutzt wurden."

Die Projekte seien in der Tat separat und unabhängig voneinander durchgeführt worden. Allerdings zeigen die neuen Erkenntnisse, wie die beiden Teams Quellcode von mindestens einem Modul in der frühen Entwicklungsphase ausgetauscht und dass sie mindestens einmal kooperiert haben. "Was wir herausgefunden haben, ist ein starker Hinweis darauf, dass die Cyberwaffen Stuxnet/Duqu und Flame miteinander in Verbindung stehen", führte Gostev aus. Malware, Security, Virus, Schädling Malware, Security, Virus, Schädling
Diese Nachricht empfehlen
Kommentieren15
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:20 Uhr Cardo Scala Rider Q1 Bluetooth-Headset
Cardo Scala Rider Q1 Bluetooth-Headset
Original Amazon-Preis
148,15
Im Preisvergleich ab
119,90
Blitzangebot-Preis
108,15
Ersparnis zu Amazon 27% oder 40

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden