https://www.ciotrends.cz/ https://i.iinfo.cz/bw/rss-88x31.gif 88 31 https://www.ciotrends.cz/autori/martin-stancik/ CIOtrends - IT strategie pro manažery cs Tue, 12 Jun 2012 03:53:00 GMT https://www.ciotrends.cz/aktuality/kaspersky-prokazuje-propojeni-autoru-stuxnetu-a-flame/?utm_source=rss&utm_medium=text&utm_campaign=rss V době objevení malwaru Flame nebyly žádné důkazy o tom, že by Flame pocházel z dílny stejného týmu jako Stuxnet a Duqu. I přístup k vývoji Flame a Duqu se lišil, což vedlo k závěru, že za těmito projekty stojí odlišné týmy. Citovaný výzkum ale nyní ukázal, že tyto dva týmy spolu v počáteční fázi vývoje minimálně jednou spolupracovaly. Podle odborníků Kaspersky Lab je modul z verze Stuxnetu z počátku roku 2009, známý jako „Resource 207“ (Zdroj 207) ve skutečnosti pluginem malwaru Flame. Platforma Flame tak existovala už v průběhu roku 2009. Zdroj 207 byl použit na šíření infekce přes USB porty. Kód mechanismu USB infekce je totiž identický u Flamu i Stuxnetu. Plugin Flame byl v roce 2010 ze Stuxnetu odstraněn a nahrazen několika odlišnými moduly, které využívaly nových zranitelností. Od roku 2010 pracovaly týmy nezávisle a jediná možná spolupráce se mohla týkat výměny know-how o zranitelných místech. Zdroj 207 je šifrovaný soubor DLL, jenž obsahuje exe soubor velikosti 351 768 bytů s názvem „atmpsvcn.ocx”. Seznam nápadných podobností zahrnuje jména vzájemně se vylučujících objektů, algoritmů používaných k šifrování strings a podobný přístup k pojmenovávání souborů. Výměna informací mezi autorskými týmy Flame a Duqu/Stuxnet tak probíhala formou zdrojového kódu a nikoli binární formou. „Navzdory nově zjištěným skutečnostem jsme přesvědčeni, že Flame a Tilded jsou zcela odlišné platformy použité k vývoji různých kybernetických zbraní. Mají odlišné architektury s vlastními triky používanými k infekci systémů a vykonávání primárních úkolů. Projekty byly skutečně odlišné a vzájemně nezávislé. Nicméně nová zjištění ukazují, že týmy si v rané fázi vývoje vyměnily alespoň jeden modul a tudíž minimálně jednou spolupracovaly. Máme tak v ruce velice silný důkaz o tom, že kybernetické zbraně Stuxnet/Duqu a Flame jsou propojeny,“ uvedl Alexandr Gostev, Chief Security Expert společnosti Kasperky Lab. redakce@ciotrends.cz (CIOtrends: Martin Stančík) Tue, 12 Jun 2012 03:53:00 GMT www.ciotrends.cz-actuality-9150