Desarrolladores de Stuxnet y Flame están conectados, segun Kaspersky

Cuando el gusano Stuxnet fue creado en el 2009, la plataforma de Flame ya existía y el código fuente de al menos un módulo de Flame fue utilizado en Stuxnet. Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del 2009, conocido como Recurso 207, era en realidad un plugin de Flame.

El módulo plugin de Flame fue retirado de Stuxnet en 2010 y sustituido por varios módulos diferentes que utilizaban otras nuevas vulnerabilidades. A partir del 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación sólo se producía para intercambio del know how sobre las nuevas vulnerabilidades zero-day.

El descubrimiento del malware Flame en mayo de 2012, tras la investigación llevada a cabo entre la ITU Unión Internacional de Comunicaciones y Kaspersky, hizo pública la ciberarma más compleja creada hasta la fecha. A pesar de las similitudes, no existían evidencias que mostraran que Flame hubiera sido desarrollada por el mismo equipo que Stuxnet y Duqu.

El enfoque para el desarrollo de Flame y Duqu/Stuxnet fue distinto, por lo que se llegó a la conclusión de que estos proyectos fueron creados por equipos separados. Sin embargo, una investigación más profunda llevada a cabo por expertos de Kaspersky, revela que estos equipos cooperaron al menos una vez durante las primeras etapas de desarrollo.

Stuxnet fue la primera ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PCs en todo el mundo condujo a su descubrimiento en junio de 2010, aunque la versión más antigua de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es el Duqu y fue descubierto en septiembre de 2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en puerta trasera del sistema infectado y robar información privada (ciberespionaje).

Durante el análisis de Duqu, se descubrieron grandes similitudes con Stuxnet, que revelaron que los dos han utilizado la misma plataforma de ataque, conocida como la Plataforma Tilded.

El malware Flame era, a primera vista, completamente diferente. Y algunas funciones, como el tamaño del programa malicioso, el uso de lenguaje de programación Lua y su funcionalidad indicaban en un primer momento que Flame no estaba conectado a los creadores de Duqu o Stuxnet. Sin embargo, la nueva investigación ha hecho que se reescriba la historia de Stuxnet para poder demostrar sin lugar a dudas, que el Tilded es la plataforma de ataque conectada a la plataforma de Flame.

Además, la mayoría de las secciones de código parecen ser idénticas o similares entre Stuxnet y los módulos de Flame, lo que nos lleva a la conclusión de que el intercambio entre Flame y los equipos Duqu y Stuxnet se hizo en forma de código fuente (es decir, no en forma binaria).

La funcionalidad principal de Recurso 207 de Stuxnet fue la distribución de la infección de una máquina a otra, utilizando las unidades extraíbles USB y la explotación de vulnerabilidad en el kernel de Windows para obtener privilegios en todo el sistema. Este código que se encarga de la distribución del malware utilizando unidades USB es completamente idéntico al utilizado en Flame.

 Fuente Jim Cueva