Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Kaspersky: Flame wél verwant aan Stuxnet

Door: Jasper Bakker | 11 juni 2012 16:57

None
Apps & Software

Superspyware Flame en sabotagemalware Stuxnet zijn toch wel direct verbonden met elkaar. Kaspersky heeft een oude Stuxnet-module nu geïdentificeerd als module van Flame.

Het gaat om een module (Resource 207) die stamt uit de 2009-versie van Stuxnet, de complexe malware die centrifuges voor uraniumverrijking kan saboteren. Het bewuste component heeft dezelfde broncode als die voor een module voor Flame, onthult het Russische securitybedrijf Kaspersky nu.

Broncode gedeeld

Hiermee is de superspyware zeker terug te voeren naar 2009. Mogelijk is Flame zelfs ontwikkeld vóór Stuxnet, of gemaakt als kickstarter voor die saboterende malware, speculeert onderzoeker Roel Schouwenberg van Kaspersky in een online-persconferentie die nu plaatsvindt. De Flame-module is in 2010 verwijderd uit Stuxnet. "Mogelijk omdat de Stuxnet-code toen volwassen genoeg was", denkt Schouwenberg. De versie uit juni 2009 is de oudste bekende Stuxnet-versie.

De twee stuks supermalware zijn zeer waarschijnlijk wel het resultaat van verschillende, parallel lopende projecten, maar die zijn uitgevoerd door samenwerkende partijen, concludeert hij. De ontwikkelaars van de twee soorten overheidsmalware hebben namelijk hun broncode, in ieder geval van deze module, met elkaar gedeeld.

De Kaspersky-onderzoeker legt uit dat dit iets heel anders is dan het delen van de exploitcode; die dient om misbruik te maken van een beveiligingsgat. Het gebruik van zo'n gat leidt in de praktijk tot andere code en een andere binary. De door Stuxnet en Flame gedeelde broncode, voor het 'distributiecomponent' van Resoure 207, is iets "wat je natuurlijk erg goed bewaakt", zegt Schouwenberg.

'Nieuwe' 0-day

De functie van dit onderdeel is de verspreiding van de malware via usb-drives. Resource 207 gebruikt hiervoor een kwetsbaarheid die in 2009 nog onbekend was. Daarnaast heeft de module ook code in zich om misbruik te maken van een voorheen onbekend gat dat de malware in staat stelt hogere rechten te verkrijgen.

Kaspersky heeft aan Microsoft bevestiging gevraagd én gekregen dat dit security bulletin MS09-25 betreft, voor Windows-gaten die in juni 2009 zijn gedicht. Dit is de vijfde 0-day die de diverse Stuxnet-varianten in hun arsenaal hadden. Het is weliswaar nu geen 0-day meer, vertelt Schouwenberg, maar dat was het wél toen het in gebruik was door de malware.

Bron: Webwereld.nl

0 Reacties op: Kaspersky: Flame wél verwant aan Stuxnet

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.