Addictware | Noticias de Tecnología - Flame si está conectado con Stuxnet y Duqu

Seguridad - Addictware

Flame si está conectado con Stuxnet y Duqu

Detalles

La firma de seguridad asegura que la plataforma de Flame ya existía en 2009 y que el código fuente, de al menos un módulo de Flame, fue utilizado en Stuxnet.

Logo KasperskyKaspersky Lab ha descubierto que un módulo de la primera versión de Stuxnet de comienzos del año 2009, conocido como "Recurso 207", era en realidad un plugin de Flame.

Tras una exhaustiva investigación sobre Flame, Stuxnet y Duqu realizada por Kaspersky destacó que si bien el enfoque para el desarrollo de estas amenazas fue distinto, estos equipos si cooperaron, al menos una vez durante las primeras etapas de desarrollo. 

En fechas recientes al descubrimiento de Flame, en mayo de este año, se informó a pesar de las similitudes, no existían evidencias que mostraran que la ciberarma hubiera sido desarrollada por el mismo equipo que Stuxnet y Duqu. No obstante, hoy se anunció que un módulo de la primera versión de Stuxnet (de comienzos del año 2009), conocido como "Recurso 207", era un plugin de Flame.

La investigación reveló que: 

  • Cuando el gusano Stuxnet se creó (2009), la plataforma de Flame ya existía y se confirma que el código fuente de al menos un módulo de Flame fue utilizado en Stuxnet.
  • Este módulo se utilizaba para propagar el ataque a través de dispositivos USB. El código del mecanismo de infección del USB es idéntico en Flame y Stuxnet.
  • El módulo de Flame en Stuxnet también explota una vulnerabilidad que no se conocía en ese momento y que permitió una escalada de privilegios, probablemente MS09-025.
  • El módulo plugin de Flame fue retirado de Stuxnet en 2010 y sustituido por varios módulos que utilizaban otras vulnerabilidades nuevas. 

A partir de 2010, los dos equipos de desarrollo trabajaron de forma independiente, y parece que la cooperación sólo se producía para el intercambio del know-how sobre las nuevas vulnerabilidades "zero-day".

  • Stuxnet fue la primer ciberarma dirigida al sector industrial.
  • La siguiente ciberarma fue Duqu y fue descubierto en septiembre de 2011, su objetivo era convertirse en puerta trasera del sistema infectado y robar información (ciberespionaje).
  • Estos dos virus han utilizado la misma plataforma de ataque, conocida como "Plataforma Tilded", cuyo nombre procede de las preferencias de los desarrolladores de malware para nombres de archivo "~ * d *." - por lo tanto, "Tilde-d". 

Lo más leído