Resource 207: Kaspersky Lab onderzoek toont aan dat Stuxnet en Flame verbonden zijn

Door: Kaspersky Lab  11-06-2012
Trefwoorden: Malware, Kaspersky, Anti Virus

   Moskou/Utrecht, 11 juni 2012 - De ontdekking van Flame-malware in mei 2012 onthulde het meest complexe cyberwapen tot op heden. Ten tijde van de ontdekking waren er geen sterke bewijzen die de ontwikkelaars van Flame aan die van Stuxnet en Duqu koppelden. De manier waarop Flame ontwikkeld is verschilt met die van Duqu/Stuxnet, waardoor de conclusie werd getrokken dat ze door verschillende teams zijn gemaakt. Experts van Kaspersky Lab hebben echter ontdekt dat de teams in elk geval één keer hebben samengewerkt in het beginstadium van de ontwikkeling.  

 

De feiten in het kort:
·          Kaspersky Lab heeft ontdekt dat een module uit de 2009-versie van Stuxnet - bekend als “Resource 207” - eigenlijk een Flame-plugin was.
·          Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet.
·          Deze module is gebruikt om de infectie te verspreiden via USB-drives. De code van het USB-infectiemechanisme in Flame en Stuxnet is identiek.
·          De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025.
·          Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.
·          Vanaf 2010 hebben de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe “zero-day”-kwetsbaarheden.  

Achtergrond
Stuxnet was het eerste cyberwapen dat zich richtte op industriële faciliteiten. Omdat Stuxnet ook wereldwijd reguliere PC’s infecteerde, werd het in juni 2010 ontdekt. De oudste versie van Stuxnet die bekend is, stamt uit 2009. Het tweede voorbeeld van een cyberwapen, bekend als Duqu, werd ontdekt in september 2011. In tegenstelling tot Stuxnet werd Duqu gebruikt als achterdeur in besmette systemen waarmee gevoelige gegevens werden gestolen (cyberspionage).  

Tijdens de analyse van Duqu werden sterke overeenkomsten met Stuxnet gevonden waaruit bleek dat de twee cyberwapens gebruik maakten van hetzelfde aanvalsplatform, het “Tilded platform”. De naam komt van de voorkeur van de ontwikkelaars om bestandsnamen te gebruiken in de vorm “~d*.*” – vandaar “Tilde-d”. Flame, dat ontdekt werd in mei 2012 na onderzoek in opdracht van de International Communications Union (ITU) en uitgevoerd door Kaspersky Lab, leek in eerste oogopslag compleet verschillend. Bepaalde eigenschappen, zoals de grootte van de malware, het gebruik van LUA-programmeertaal en de verschillende functionaliteiten, deden vermoeden dat er geen relatie was tussen Flame en de makers van Stuxnet/Duqu. De nieuwe feiten wijzen echter zonder twijfel uit dat het Tilded-platform inderdaad iets te maken heeft met het Flame-platform.  

Nieuwe ontdekkingen
De eerste bekende versie van Stuxnet, waarvan wordt aangenomen dat deze in juni 2009 is gecreëerd, bevat een speciale module genaamd “Resource 207”. Deze module is in latere versies van Stuxnet volledig verwijderd. De Resource 207-module is een gecodeerd DLL-bestand en bevat een uitvoerbaar bestand met een grootte van 351,768 bytes met de naam “atmpsvcn.ocx”. Dit specifieke bestand heeft een hoop gemeen met de code die wordt gebruikt in Flame, ontdekten onderzoekers van Kaspersky Lab. De lijst van opvallende overeenkomsten bevat onder andere namen van dezelfde exclusieve objecten, het algoritme dat wordt gebruikt om strings te ontcijferen en een vergelijkbare aanpak in het geven van bestandsnamen.  

Belangrijker is dat de meeste secties uit de code identiek of vergelijkbaar zijn in de Stuxnet- en Flame-modules. Dit wijst erop dat de uitwisseling tussen de teams van Flame en Duqu/Stuxnet gebeurde in de vorm van broncode (dus niet in binaire vorm). De hoofdtaak van Stuxnet’s Resource 207-module was het verspreiden van de infectie van het ene naar het andere systeem via USB-drives en het misbruik maken van kwetsbaarheden in Windows kernel om verhoogde rechten te krijgen binnen het systeem. De code die verantwoordelijk is voor het verspreiden van malware via USB-drives is helemaal identiek ten opzichte van die in Flame.  

“Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platforms zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen,” zegt Alexander Gostev, Chief Security Expert van Kaspersky Lab. “Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn.”  

Meer details over het onderzoek kunnen gelezen worden in het artikel op Securelist.com. Om meer te weten te komen over Flame, bekijk de Flame FAQ van onze Kaspersky Lab’s security researchers.  

Over Kaspersky Lab
Kaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.

Het hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners.

Voor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.

Trefwoorden: Anti Virus, Cybercrime, Kaspersky, Malware

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


04-06-2013

Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage   Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


27-02-2013

Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit


14-01-2013

Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur