Stuxnet / Duqu y Flame armas cibernéticas conectadas: Kaspersky
En un comunicado de Kaspersky se menciona que tras el descubrimiento del malware Flame en mayo de 2012, por la Unión Internacional de Comunicaciones (ITU) y los laboratorios de la marca, no existía evidencia de que hubiera sido desarrollado por el mismo equipo de Stuxnet y Duqu, a pesar de sus similitudes. Sin embargo, otra investigación reveló que estos equipos cooperaron al menos una vez durante las primeras etapas de desarrollo.
Más a fondo:
Stuxnet fue la primer ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PCs en el mundo condujo a su descubrimiento en junio de 2010, aunque la versión más antigua conocida de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es Duqu y fue descubierto en septiembre de2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en puerta trasera del sistema infectado y robar información privada (ciberespionaje).
Durante el análisis de Duqu, se descubrieron similitudes con Stuxnet, que revelaron que los dos han utilizado la misma plataforma de ataque, conocida comola «Plataforma Tilded». El nombre procede de las preferencias de los desarrolladores de malware para nombres de archivo «~ * d *.» – por lo tanto, «Tilde-d». El malware Flame era, a primera vista, completamente diferente. Algunas funciones como el tamaño del programa malicioso, el uso de lenguaje de programación Lua y su funcionalidad, indicaban en un primer momento que Flame no estaba conectado a los creadores de Duqu o Stuxnet. Sin embargo, la investigación ha hecho que se reescriba la historia de Stuxnet para poder demostrar, que el «Tilded» es la plataforma de ataque conectada a la plataforma de Flame.
Nuevos hallazgos
La primera versión conocida de Stuxnet contiene un módulo especial conocido como «Recurso 207». En la versión posterior de 2010, este módulo Stuxnet fue eliminado por completo. El «Recurso 207» es un archivo DLL cifrado que contiene un archivo ejecutable que, según ha mostrado la investigación de Kaspersky Lab, tiene mucho en común con el código utilizado en Flame. La lista de semejanzas incluye los nombres de los objetos que se excluyen mutuamente, el algoritmo usado para descifrar las cadenas y los enfoques similares a los de nombre de archivo.
Además, la mayoría de las secciones de código parecen ser idénticas o similares entre Stuxnet y los módulos de Flame, lo que nos llevó a la conclusión de que el intercambio entre Flame y los equipos Duqu/Stuxnet se hizo en forma de código fuente (es decir, no en forma binaria). La funcionalidad principal de «Recurso 207» de Stuxnet fue la distribución de la infección de una máquina a otra, utilizando las unidades extraíbles USB y la explotación de vulnerabilidad en el kernel de Windows para obtener privilegios en el sistema. El código que se encarga de la distribución de malware utilizando unidades USB es idéntico al utilizado en Flame.
Alexander Gostev, director de Expertos en Seguridad de Kaspersky Lab, comentó que con el análisis reciente han encontrado evidencia de que Stuxnet / Duqu y Flame son armas cibernéticas conectadas.
