' Resource 207 ' : une étude de Kaspersky Lab met en évidence l'existence d'un lien entre les développeurs de Stuxnet et de Flame

12 juin 2012
Actualités Virus

">

Moscou, le 11 juin 2012_La découverte du malware Flame en mai dernier a dévoilé la cyberarme la plus complexe à ce jour. Lorsqu'il fut mis à jour, rien ne prouvait formellement que Flame ait été développé par la même équipe que Stuxnet et Duqu. La méthode de développement de Flame est également différente de celle de Duqu/Stuxnet, d'où la conclusion qu'ils étaient l'œuvre d'équipes séparées. Cependant, une analyse approfondie, réalisée par les experts de Kaspersky Lab, révèle que ces équipes ont en fait coopéré au moins une fois aux premiers stades du développement.


En bref :

  • Kaspersky Lab a découvert qu'un module de la version de Stuxnet de début 2009, connu sous le nom ' Resource 207 ', se trouve être aussi un plugin de Flame.
  • Cela signifie que, lors de la création du ver Stuxnet début 2009, la plate-forme Flame existait déjà et que, dès 2009, le code source d'au moins un module de Flame a été utilisé dans Stuxnet.
  • Ce module, servant à propager l'infection via des clés USB, présente un mécanisme identique dans Flame et Stuxnet.
  • Le module Flame dans Stuxnet exploitait également une vulnérabilité inconnue à l'époque et permettant aussi d'atteindre les autorisations d'accès les plus élevées dans la hiérarchie (sans doute MS09-025).
  • Par la suite, le module Flame a été retiré de Stuxnet en 2010 et remplacé par différents autres mettant à profit de nouvelles vulnérabilités.
  • A partir de 2010, les deux équipes de développement ont travaillé chacune de leur côté, leur seule coopération supposée consistant à échanger leur savoir-faire sur les nouvelles failles ' zero day '.

Rappel

Stuxnet a été la première cyberarme ciblant les sites industriels. Sa découverte en juin 2010 fut possible, notamment, car ce programme malveillant avait également infecté des PC ' normaux ' à travers le monde, bien que sa plus ancienne version connue ait été créée un an plus tôt. Le cas suivant de cyberarme, aujourd'hui dénommée Duqu, a été détecté en septembre 2011. À la différence de Stuxnet, Duqu est un cheval de Troie ayant principalement pour but d'ouvrir une porte dérobée (backdoor ) sur le système infecté afin d'y subtiliser des informations confidentielles (cyberespionnage).


Pendant l'analyse de Duqu, de fortes similitudes avec Stuxnet ont été découvertes, suggérant que les deux cyberarmes ont été conçues à l'aide de la même plate-forme d'attaque, ' Tilded ', dont l'appellation vient de la prédilection des développeurs de malwares pour les noms de fichiers sous la forme ' ~d*.* ', d'où ' tilde-d '. Le malware Flame, mis au jour en mai 2012 à la suite d'une enquête déclenchée par l'Union internationale des télécommunications (UIT) et menée par Kaspersky Lab, était, de prime abord, totalement différent. Certaines caractéristiques, telles que la taille du programme malveillant, l'utilisation du langage de programmation LUA et la diversité de ses fonctionnalités, indiquaient toutes l'absence de lien entre Flame et les créateurs de Duqu ou Stuxnet. Cependant, l'apparition de nouveaux faits a entièrement réécrit l'histoire de Stuxnet et prouve, sans l'ombre d'un doute, que la plate-forme Tilded est bien liée à la plate-forme Flame.


Nouvelles découvertes

La première version connue de Stuxnet, supposée remonter à juin 2009, contient un module spécial appelé ' Resource 207 '. Dans la version ultérieure de Stuxnet, en 2010, ce module a entièrement disparu. ' Resource 207 ' est un fichier DLL crypté, et cachant un exécutable nommé ' atmpsvcn.ocx ' de 351 768 octets. Ce fichier particulier, comme le révèle aujourd'hui l'enquête de Kaspersky Lab, présente de nombreux points communs avec le code utilisé dans Flame. Parmi ces ressemblances frappantes figurent des noms d'objets identiques, l'algorithme de décryptage employé ainsi que des méthodes similaires d'attribution des noms de fichiers.

Qui plus est, la plupart des sections de code paraissent être identiques ou voisines dans les modules respectifs de Stuxnet et de Flame, ce qui amène à conclure que les échanges entre Flame et les équipes Duqu/Stuxnet ont pris la forme de code source (par opposition à du code binaire). La principale fonctionnalité du module ' Resource 207 ' de Stuxnet a répandu l'infection d'une machine à une autre, en passant par des clés USB amovibles et en exploitant une vulnérabilité du noyau Windows pour obtenir une élévation des autorisations dans le système. Le code responsable de la distribution du malware par les clés USB est en tous points semblables à celui utilisé dans Flame.


Alexander Gostev, expert en sécurité de Kaspersky Lab, commente : ' En dépit des récentes découvertes, nous restons convaincus que Flame et Tilded sont des plates-formes entièrement différentes, servant à développer des cyberarmes multiples. Chacune présente une architecture différente avec ses propres stratagèmes pour infecter les systèmes et exécuter ses principales tâches. Les deux projets ont bien été menés séparément et indépendamment l'un de l'autre. Cependant, les nouvelles observations révélant que les équipes ont partagé le code source d'au moins un module durant les premières phases de développement prouvent que les deux groupes ont coopéré au minimum une fois. Voilà qui démontre un lien très probable entre les cyberarmes Stuxnet/Duqu et Flame. '


D'autres détails sur l'enquête sont disponibles dans un article sur le site Securelist.com. Pour en savoir plus sur le malware Flame, voir le FAQ Flame publié par les chercheurs en sécurité de Kaspersky Lab.


Salle de presse virtuelle Kaspersky Lab

Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l'ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d'informations sur l'entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio.


A propos de Kaspersky Lab


Fondé en 1997, Kaspersky Lab, éditeur international de solutions et de services de sécurité, protège plus de 300 millions d'utilisateurs à travers le monde.


Ses solutions, destinées à des usages privés et professionnels, s'appuient sur les recherches du laboratoire Kaspersky Lab où travaillent de nombreux ' malware-doctors ' et experts parmi les plus réputés à l'échelle internationale.


24 h sur 24 h, 7 jours sur 7, ces experts analysent, traitent les codes malicieux et développent les antidotes proposés aux utilisateurs.


Les technologies développées par Kaspersky Lab assurent la protection contre les programmes malveillants et la sécurité totale des informations, qu'elles soient stockées sur serveurs, postes de travail ou encore appareils mobiles.


En 15 ans, Kaspersky Lab est devenu un leader mondial, présent dans plus de 200 pays. Kaspersky Lab compte près de 2400 employés à travers le monde, dont plus de 700 chercheurs et développeurs, et dispose de 29 bureaux en Russie, en France, en Allemagne, en Australie, au Canada, en Chine, en Corée du Sud, en Espagne, aux Etats-Unis, en Grande-Bretagne, en Italie, au Japon, aux Pays-Bas, en Pologne, en Suède:

Pour plus d'informations concernant Kaspersky Lab : http://www.kaspersky.fr
Pour plus d'informations sur l'actualité virale : http://www.securelist.com

  PARTAGER