Kaspersky-Untersuchung beweist: Entwickler von Stuxnet und Flame standen in Verbindung

12. Juni 2012
Viren-News

Die Entdeckung des Schadprogramms Flame im Mai 2012 deckte die derzeit gefährlichste Cyberwaffe auf [1]. Zunächst deutete wenig auf eine Verbindung zwischen den Entwicklerteams von Flame und Stuxnet/Duqu hin. Auch der Entwicklungsansatz von Flame und Stuxnet beziehungsweise Duqu war ein anderer. Daher ging man davon aus, dass die beiden Projekte von unterschiedlichen Teams durchgeführt wurden. Allerdings ergibt eine von Kaspersky-Experten durchgeführte detaillierte Analyse, dass die beiden Teams tatsächlich - zumindest in der frühen Entwicklungsphase - kooperierten.

Im Folgenden finden Sie die wichtigsten Punkte zur neuesten Flame-Analyse von Kaspersky Lab in der Übersicht:

  • Das Modul namens 'Resource 207' aus der frühen 2009er Version von Stuxnet ist eigentlich ein Plugin von Flame.
  • Dies bedeutet, dass die Flame-Plattform bereits existierte, als der Stuxnet-Wurm Anfang 2009 kreiert wurde und schon damals der Quellcode von mindestens einem Flame-Modul bei Stuxnet verwendet wurde.
  • Dieses Modul wurde zur Ausbreitung der Infektion über USB-Speicher verwendet. Der Code des USB-Speicher-Infektions-Mechanismus ist bei Flame und Stuxnet derselbe.
  • Das Flame-Modul in Stuxnet nutzte zudem eine Schwachstelle aus, die zu dieser Zeit noch unbekannt war und die eine Rechteausweitung ermöglichte, vermutlich handelte es sich um die Schwachstelle MS09-025.
  • Anschießend wurde das Flame-Plugin im Jahr 2010 wieder aus Stuxnet entfernt und durch zahlreiche unterschiedliche Module ersetzt, die neue Schwachstellen nutzten.
  • Seit 2010 scheinen die beiden Entwicklungsteams unabhängig voneinander zu arbeiten.

Hintergrund

Stuxnet war die erste Cyberwaffe, die Industrieanlagen attackierte. Die Tatsache, dass Stuxnet auch gewöhnliche PCs auf der ganzen Welt infizierte, führte zu seiner Entdeckung im Juni 2010, obwohl die früheste bekannte Version des Schadprogramms bereits ein Jahr zuvor erschaffen wurde. Mit Duqu wurde ein weiteres Exemplar einer Cyberwaffe im September 2011 entdeckt. Im Gegensatz zu Stuxnet bestand die Hauptfunktion des Duqu-Trojaners darin, als Backdoor auf infizierten Systemen zu fungieren und sensible Informationen zu stehlen (Cyberspionage).


Während der Analyse von Duqu wurden starke Ähnlichkeiten zu Stuxnet entdeckt. Es wurde deutlich, dass zwei Cyberwaffen entwickelt wurden, die dieselbe Plattform, namens Tilded, für ihre Angriffe nutzten [2]. Der Name stammt daher, dass Malware-Entwickler eine Präferenz für Dateinamen mit dem Muster '~d*.*' haben - in diesem Fall 'Tilde-d'. Im Rahmen von der zur UNO gehörenden Internationalen Fernmeldeunion (International Telecommunication Union - ITU) in Auftrag gegebenen Untersuchung entdeckte Kaspersky Lab im Mai 2012 dann Flame. Auf den ersten Blick erschien Flame komplett anders zu sein. Verschiedene Funktionen, wie die Größe der Schadsoftware und die Nutzung von LUA als Programmiersprache, deuteten darauf hin, dass Flame nicht mit den Schöpfern von Stuxnet und Duqu in Verbindung steht. Allerdings zeigen die neuen Erkenntnisse, dass die Geschichte von Stuxnet neu geschrieben werden muss und sie beweisen, dass die 'Tilded'-Plattform mit der Flame-Plattform verbunden ist.


Die neuen Erkenntnisse

Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als 'Resource 207' bekannt ist. In der folgenden 2010er Version von Stuxnet wurde dieses Modul komplett entfernt. Das Modul 'Resource 207' ist eine verschlüsselte DLL-Datei und beinhaltet eine ausführbare Datei namens 'atmpsvcn.ocx', die 351,768 Bites groß ist. Diese Datei, weist zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf, wie Kaspersky Lab jetzt herausfand. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche MUTEX Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.


Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Die Schlussfolgerung: Der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet erfolgte in Form von Quellcode (also nicht in binärer Form). Die Hauptfunktion des 'Resource 207'-Modul in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem entfernbare USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, ist mit dem von Flame komplett identisch.

'Trotz der neuen Erkenntnisse gehen wir davon aus, dass Flame und Tilded komplett verschiedene Pattformen sind, die bei der Entwicklung von verschiedenen Cyberwaffen genutzt wurden', sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. 'Beide weisen verschiedene Architekturen sowie einzigartige Tricks auf, die bei der Systeminfizierung und der Ausführung ihrer Hauptaufgaben genutzt wurden. Die Projekte wurden in der Tat separat und unabhängig voneinander durchgeführt. Allerdings zeigen die neuen Erkenntnisse, wie die beiden Teams Quellcode von mindestens einem Modul in der frühen Entwicklungsphase ausgetauscht und dass sie mindestens einmal kooperiert haben. Was wir herausgefunden haben, ist ein starker Hinweis darauf, dass die Cyberwaffen Stuxnet/Duqu und Flame miteinander in Verbindung stehen.'

Weitere Details über die neuste Flame-Analyse von Kaspersky Lab sind in einem aktuellen Blog unter http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link verfügbar. Die wichtigsten Fragen zu Flame werden im aktuellen FAQ von Kaspersky Lab unter http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers beantwortet.


[1] http://newsroom.kaspersky.eu/de/texte/detail/article/cyberspionage-20-in-flammen-kaspersky-lab-und-itu-forschung-entdecken-mit-flame-ein-neues-hoch-en


[2] http://www.securelist.com/en/analysis/204792208/Stuxnet_Duqu_The_Evolution_of_Drivers


Kaspersky Lab

ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheitslösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMU, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.  

Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über www.twitter.com/Kaspersky_DACH. Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar.

 Share this page