Llegamos a ustedes gracias a:



Alertas de Seguridad

Stuxnet y Flame están conectados

Según investigaciones de Kaspersky Lab

[12/06/2012] El descubrimiento del malware Flame en mayo del 2012, tras la investigación llevada a cabo entre la Unión Internacional de Comunicaciones (ITU) y Kaspersky Lab, hizo pública la ciberarma más compleja creada hasta la fecha. A pesar de las similitudes, no existían evidencias que mostraran que Flame hubiera sido desarrollada por el mismo equipo que Stuxnet y Duqu. El enfoque para el desarrollo de Flame y Duqu/Stuxnet fue distinto, por lo que se llegó a la conclusión de que estos proyectos fueron creados por equipos separados. Sin embargo, una investigación llevada a cabo por expertos de Kaspersky Lab, revela que estos equipos cooperaron al menos una vez durante las primeras etapas de desarrollo.
Kaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame. Cuando el gusano Stuxnet fue creado (2009), la plataforma de Flame ya existía y se confirma que el código fuente de al menos un módulo de Flame fue utilizada en Stuxnet.                 Este módulo se utilizaba para propagar el ataque a través de dispositivos USB. El código del mecanismo de infección del USB es idéntico en Flame y Stuxnet. El módulo de Flame en Stuxnet también explota una vulnerabilidad que no se conocía en ese momento y que permitió una escalada de privilegios, probablemente MS09-025.
Posteriormente, el módulo plugin de Flame fue retirado de Stuxnet en el 2010 y sustituido por varios módulos diferentes que utilizaban otras nuevas vulnerabilidades. A partir del 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación solo se producía para el intercambio del know-how sobre las nuevas vulnerabilidades "zero-day".
Stuxnet fue la primera ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PC en todo el mundo condujo a su descubrimiento en junio del 2010, aunque la versión más antigua conocida de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es Duqu y fue descubierto en septiembre del 2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en puerta trasera del sistema infectado y robar información privada (ciberespionaje).
La primera versión conocida de Stuxnet contiene un módulo especial conocido como "Recurso 207". En la posterior versión 2010 este módulo Stuxnet fue eliminado por completo. El "Recurso 207" es un archivo DLL cifrado que contiene un archivo ejecutable que, según ha mostrado la investigación de Kaspersky Lab, tiene mucho en común con el código utilizado en Flame. La lista de notables semejanzas incluye los nombres de los objetos que se excluyen mutuamente, el algoritmo usado para descifrar las cadenas y los enfoques similares a los de nombre de archivo.
Además, la mayoría de las secciones de código parecen ser idénticas o similares entre Stuxnet y los módulos de Flame, lo que los lleva a la conclusión de que el intercambio entre Flame y los equipos Duqu/Stuxnet se hizo en forma de código fuente (es decir, no en forma binaria). La funcionalidad principal de "Recurso 207" de Stuxnet fue la distribución de la infección de una máquina a otra, utilizando las unidades extraíbles USB y la explotación de vulnerabilidad en el kernel de Windows para obtener privilegios en el sistema. El código que se encarga de la distribución de malware utilizando unidades USB es completamente idéntico al utilizado en Flame.
"A pesar de los hechos descubiertos, estamos seguros de que Flame y Tilded son plataformas completamente diferentes, que se utilizan para desarrollar múltiples ciberarmas. Cada uno tiene diferentes arquitecturas; sin embargo, en nuevo análisis revela cómo los equipos de trabajo compartieron el código fuente de al menos un módulo en las primeras etapas de desarrollo. Lo que hemos encontrado es una evidencia muy clara de que Stuxnet / Duqu y Flame son armas cibernéticas conectadas", señaló Alexander Gostev, director de Expertos en Seguridad de Kaspersky Lab.
CIO, Perú