Kaspersky entdeckt Zusammenhang zwischen Flame- und Stuxnet-Entwickler

Die Entdeckung des Schadprogramms Flame im Mai 2012 deckte die derzeit gefährlichste Cyberwaffe auf. Zunächst deutete wenig auf eine Verbindung zwischen den Entwicklerteams von Flame und Stuxnet/Duqu hin. Auch der Entwicklungsansatz von Flame und Stuxnet beziehungsweise Duqu war ein anderer. Daher ging man davon aus, dass die beiden Projekte von unterschiedlichen Teams durchgeführt wurden. Allerdings ergibt eine von Kaspersky-Experten durchgeführte detaillierte Analyse, dass die beiden Teams tatsächlich – zumindest in der frühen Entwicklungsphase – kooperierten.

Die wichtigsten Punkte zur neuesten Flame-Analyse

• Das Modul namens „Resource 207“ aus der frühen 2009er Version von Stuxnet ist eigentlich ein Plugin von Flame.
• Dies bedeutet, dass die Flame-Plattform bereits existierte, als der Stuxnet-Wurm Anfang 2009 kreiert wurde und schon damals der Quellcode von mindestens einem Flame-Modul bei Stuxnet verwendet wurde.
• Dieses Modul wurde zur Ausbreitung der Infektion über USB-Speicher verwendet. Der Code des USB-Speicher-Infektions-Mechanismus ist bei Flame und Stuxnet derselbe.
• Das Flame-Modul in Stuxnet nutzte zudem eine Schwachstelle aus, die zu dieser Zeit noch unbekannt war und die eine Rechteausweitung ermöglichte, vermutlich handelte es sich um die Schwachstelle MS09-025.
• Anschießend wurde das Flame-Plugin im Jahr 2010 wieder aus Stuxnet entfernt und durch zahlreiche unterschiedliche Module ersetzt, die neue Schwachstellen nutzten.
• Seit 2010 scheinen die beiden Entwicklungsteams unabhängig voneinander zu arbeiten.

Ausführliche Infos zu beiden Schadprogrammen
Stuxnet war die erste Cyberwaffe, die Industrieanlagen attackierte. Die Tatsache, dass Stuxnet auch gewöhnliche PCs auf der ganzen Welt infizierte, führte zu seiner Entdeckung im Juni 2010, obwohl die früheste bekannte Version des Schadprogramms bereits ein Jahr zuvor erschaffen wurde. Mit Duqu wurde ein weiteres Exemplar einer Cyberwaffe im September 2011 entdeckt. Im Gegensatz zu Stuxnet bestand die Hauptfunktion des Duqu-Trojaners darin, als Backdoor auf infizierten Systemen zu fungieren und sensible Informationen zu stehlen (Cyberspionage).

Während der Analyse von Duqu wurden starke Ähnlichkeiten zu Stuxnet entdeckt. Es wurde deutlich, dass zwei Cyberwaffen entwickelt wurden, die dieselbe Plattform, namens Tilded, für ihre Angriffe nutzten [2]. Der Name stammt daher, dass Malware-Entwickler eine Präferenz für Dateinamen mit dem Muster „~d*.*” haben – in diesem Fall „Tilde-d“. Im Rahmen von der zur UNO gehörenden Internationalen Fernmeldeunion (International Telecommunication Union – ITU) in Auftrag gegebenen Untersuchung entdeckte Kaspersky Lab im Mai 2012 dann Flame. Auf den ersten Blick erschien Flame komplett anders zu sein. Verschiedene Funktionen, wie die Größe der Schadsoftware und die Nutzung von LUA als Programmiersprache, deuteten darauf hin, dass Flame nicht mit den Schöpfern von Stuxnet und Duqu in Verbindung steht. Allerdings zeigen die neuen Erkenntnisse, dass die Geschichte von Stuxnet neu geschrieben werden muss und sie beweisen, dass die „Tilded“-Plattform mit der Flame-Plattform verbunden ist.

Aktuelle Entwicklung
Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als „Resource 207“ bekannt ist. In der folgenden 2010er Version von Stuxnet wurde dieses Modul komplett entfernt. Das Modul „Resource 207“ ist eine verschlüsselte DLL-Datei und beinhaltet eine ausführbare Datei namens „atmpsvcn.ocx“, die 351,768 Bites groß ist. Diese Datei, weist zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf, wie Kaspersky Lab jetzt herausfand. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche MUTEX Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.

Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Die Schlussfolgerung: Der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet erfolgte in Form von Quellcode (also nicht in binärer Form). Die Hauptfunktion des „Resource 207“-Modul in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem entfernbare USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, ist mit dem von Flame komplett identisch.

Weitere Trends runf um Schadprogramme finden Leser hier.

(Quelle: Kaspersky Lab)
(Foto: Gerd Altmann;pixelio.de)