Kaspersky Lab informē, ka ar kaitīgo programmatūru Flame, kuru eksperti uzskata par vissarežģītāko pašlaik zināmo kiberspiegošanas rīku komplektu, saistītā incidenta izmeklēšanā ir parādījušies jauni fakti. Pētot Flame kodu, tika noskaidrots, ka viena uz platformas Flame balstīta moduļa agrīnā versija ir izmantota datortārpa Stuxnet kodā. Pašlaik visi fakti norāda uz to, ka noteiktā laikposmā abas kaitīgās programmatūras izstrādājusi viena un tā pati speciālistu grupa.
Stuxnet pirmo reizi vēsturē tika izmantots par kiberieroci rūpniecības objektu izvešanai no ierindas. Par tārpu kļuva zināms 2010. gada jūnijā pēc tam, kad tas tika atklāts lietotāju datoros. Pirmā pašlaik zināmā Stuxnet versija ir izveidota gadu iepriekš.
Nākamais incidents, ko arī iespējams klasificēt kā kiberkara epizodi, bija konfidenciālas informācijas zagšana (kiberspiegošanai) domātā trojieša Duqu atklāšana 2011. gada septembrī. Trojieša detalizēta pētījuma gaitā tika konstatēts, ka tam ir vairākas kopīgas iezīmes ar Stuxnet, un noskaidrots, ka abas kaitīgās programmatūras ir veidotas, izmantojot kopīgu platformu, kas ieguva nosaukumu Tilded.
Kaspersky Lab eksperti atklāja Flame 2012. gada maijā, veicot Starptautiskās telesakaru apvienības (ITU) ierosinātu izmeklēšanu. Spiegprogrammatūra tika atrasta vairākās valstīs, galvenokārt Tuvo Austrumu reģionā. Pirmajā acu uzmetienā Flame nebija nekā kopīga ar agrāk pētītajiem paraugiem Stuxnet un Duqu, tomēr jaunākā pētījuma rezultāti liecina, ka platformu Tilded un Flame izstrādātāji ir sadarbojušies, bet Stuxnet savā resursā satur uz Flame platformas balstītu komponentu.
«Flame un Tilded ir dažādas platformas, kas izveidotas atšķirīgu kiberieroču izstrādei. Katrai ir sava arhitektūra, unikāli iekļūšanas sistēmā un izvirzītā uzdevuma izpildes paņēmieni. Mēs joprojām uzskatām, ja projekti ir veikti atsevišķi, tomēr tagad mums ir pierādījums tam, ka Stuxnet/Duqu un Flame ir savstarpēji saistīti, jo izstrādes sākumposmā komandas vismaz vienā modulī ir izmantojušas vienu un to pašu pirmkodu,» pētījuma rezultātus komentē Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs.
Īsumā pētījuma rezultāti ir šādi:
• 2009. gada Stuxnet kodā ir izmantots modulis (pazīstams ar nosaukumu «resurss 207»), kas attiecas uz platformu Flame. Iespējams, tas tika izveidots speciāli darbam Stuxnet ietvaros.
• Tas nozīmē, ka datortārpa Stuxnet izveides laikā 2009. gadā platforma Flame jau pastāvēja, kā arī to, ka 2009. gadā vismaz viena Flame moduļa pirmkods tika izmantots Stuxnet.
• Šis modulis tika lietots datora inficēšanai, izmantojot USB ierīces. Gan Flame, gan Stuxnet lieto identisku inficēšanas mehānismu, izmantojot USB ierīces.
• Stuxnet ietvertais Flame modulis saturēja mūķi izmantotāju tolaik nezināmai ievainojamībai privilēģiju palielināšanai, domājams, MS09-025.
• Vēlāk, 2010. gadā, Flame modulis tika izņemts no Stuxnet un aizstāts ar vairākiem dažādiem moduļiem, kas izmantoja jaunas ievainojamības.
• Kopš 2010. gada darbs pie platformām noritēja atsevišķi, tomēr pastāv pieņēmums, ka izstrādātāji varēja apmainīties ar informāciju par nulles dienas ievainojamību.
Detalizēti rezultāti un tehniskā informācija ir pieejama vietnē [url=http://www.securelist.com/ru/blog/207767012/Back_to_Stuxnet_propushchennoe_zveno]www.securelist.com/ru/blog/207767012/Back_to_Stuxnet_propushchennoe_zveno.[/url]