La scoperta del malware Flame a maggio 2012 ha portato alla luce l’arma informatica più complessa conosciuta fino ad oggi. Al momento della scoperta, non vi erano prove evidenti del fatto che Flame fosse stato sviluppato dallo stesso team che aveva creato Stuxnet e Duqu. La tipologia dello sviluppo di Flame, inoltre, era diverso rispetto a Duqu e Stuxnet e questo ha portato alla conclusione che questi fossero stati creati da team separati.
Tuttavia, in seguito ad un’analisi più approfondita condotta dagli esperti di Kaspersky Lab, è emerso che i team hanno collaborato almeno una volta durante le prime fasi di sviluppo.
In breve
• Kaspersky Lab ha scoperto che un modulo presente nella prima versione di Stuxnet del 2009, noto come “Resource 207”, era in realtà un plugin Flame.
• Questo significa che quando il worm Stuxnet è stato creato all’inizio del 2009, la piattaforma Flame esisteva già e che nel 2009 il codice sorgente di almeno uno dei moduli di Flame era stato usato per Stuxnet.
• Questo modulo veniva impiegato per trasmettere l’infezione tramite le porte USB. Il codice dell’infezione tramite USB è utilizzato per Flame e Stuxnet.
• Il modulo di Flame presente in Stuxnet ha sfruttato una vulnerabilità che in quel periodo era ancora sconosciuta, che ha consentito un’escalation di privilegi, presumibilmente MS09-025.
• Successivamente, il modulo di plugin di Flame è stato rimosso da Stuxnet nel 2010 e sostituito da una serie di moduli diversi che sfruttano nuove vulnerabilità.
• A partire dal 2010, i due team hanno lavorato in maniera indipendente, anche se forse hanno collaborato attraverso uno scambio di know-how relativo alle nuove vulnerabilità degli "zero-day".
Background
Stuxnet è stata la prima arma informatica a colpire gli impianti industriali. Il fatto che Stuxnet abbia infettato anche i normali PC in tutto il mondo ha permesso la sua scoperta nel giugno 2010, sebbene la prima versione del noto programma nocivo fosse già stata creata un anno prima. La seconda arma informatica, che oggi conosciamo come Duqu, è stata creata nel settembre 2011. A differenza di Stuxnet, il compito principale del Trojan Duqu era quello di funzionare come backdoor del sistema infetto e sottrarre informazioni private (spionaggio informatico).
Durante l’analisi di Duqu, sono state evidenziate forti analogie con Stuxnet e questo rivela che le due armi informatiche sono state create utilizzando la stessa piattaforma conosciuta con il nome di “Tilded Platform”. Il nome deriva da una preferenza degli sviluppatori del malware per il filename del modulo “~d*.*”, quindi “Tilde-d”. Il malware Flame, scoperto nel maggio 2012 in seguito ad un’indagine commissionata dall’International Communications Union (ITU) e condotta da Kaspersky Lab, è risultato del tutto differente a prima vista. Alcune caratteristiche, come la dimensione del programma nocivo, l’utilizzo del linguaggio di programmazione LUA e le diverse funzionalità, indicavano che Flame non era collegato agli sviluppatori di Duqu e Stuxnet. Tuttavia, i nuovi dati che sono emersi riscrivono la storia di Stuxnet e non c’è alcun dubbio che la piattaforma “Tiled” sia collegata con quella di Flame.
Nuove scoperte
La prima versione di Stuxnet, che si presume sia stata creata nel giugno 2009, conteneva uno speciale modulo noto come “Resource 207”. Nella successiva versione del 2010 di Stuxnet questo modulo era stato completamente rimosso. Il modulo “Resource 207” è un file DDL crittografato che contiene un file eseguibile la cui dimensione è di 351.678 byte nominato “atmpsvcn.ocx”. Questo particolare file, come è emerso dall’indagine condotta da Kaspersky Lab, ha molto in comune con il codice utilizzato per Flame. L’elenco delle similitudini comprende un nome esclusivo per ogni oggetto, l’algoritmo impiegato per decriptare le stringhe e un approccio simile adottato per nominare il file.
Inoltre, molte sezioni del codice appaiono identiche o simili al modulo di Stuxnet e Flame rispettivamente e questo porta alla conclusione che ci sia stato uno scambio tra il team di Flame e quello di Duqu/Stuxnet sotto forma di un codice sorgente (non in forma binaria). La principale funzionalità del modulo “Resource 207” di Stuxnet era di trasferire l’infezione da una macchina all’altra, utilizzando drive USB removibili e sfruttando le vulnerabilità nel kernel di Windows per ottenere un’elevazione dei privilegi all’interno del sistema. Il codice responsabile della distribuzione del malware attarverso i drive USB removibili è identico a quello utilizzato da Flame.
Alexander Gostev, Chief Security Expert, Kaspersky Lab ha commentato: “Nonostante le recenti scoperte, siamo certi che Flame e Tilded siano due piattaforme del tutto diverse, utilizzate per sviluppare nuove armi informatiche. Queste hanno un’architettura diversa caratterizzata da vari componenti utilizzati per infettare i sistemi ed eseguire attività fondamentali. I progetti sono separati e indipendenti uno dall’altro. Tuttavia, i nuovi risultati dimostrano che i team di sviluppo hanno condiviso il codice sorgente di almeno un modulo nelle prime fasi di sviluppo e questo prova che i team hanno collaborato almeno una volta. Ciò che abbiamo scoperto è la prova evidente che le armi informatiche Stuxnet/Duqu e Flame sono collegate”.
