Malware

Entwickler von Stuxnet und Flame standen in Verbindung

Montag, 11.06.2012 | 16:50 von Hans-Christian Dirscherl
Quellcode von Flame
Vergrößern Quellcode von Flame
© Kaspersky Lab
So wie Flame derzeit in aller Munde ist, so war Stuxnet vor einiger Zeit das Gesprächsthema Nummer 1 unter Sicherheitsexperten. Nun will Kaspersky den Nachweis gefunden haben, dass die Entwickler von Stuxnet und Flame in Verbindung standen.
Zunächst deutete laut Kaspersky nur wenig auf eine Verbindung zwischen den Entwicklerteams von Flame und Stuxnet/Duqu hin. Auch der Entwicklungsansatz von Flame und Stuxnet beziehungsweise Duqu war demnach ein anderer. Daher ging man zunächst davon aus, dass die beiden Projekte von unterschiedlichen Teams durchgeführt wurden. Allerdings ergibt eine von Kaspersky-Experten durchgeführte detaillierte Analyse, dass die beiden Teams tatsächlich – zumindest in der frühen Entwicklungsphase – kooperierten:
 
Stuxnet-Resource 207

Das Modul namens „Resource 207“ aus der frühen 2009er Version von Stuxnet ist eigentlich ein Plugin von Flame. Dies bedeutet, dass die Flame-Plattform bereits existierte, als der Stuxnet-Wurm Anfang 2009 kreiert wurde und schon damals der Quellcode von mindestens einem Flame-Modul bei Stuxnet verwendet wurde. Dieses Modul wurde zur Ausbreitung der Infektion über USB-Speicher verwendet. Der Code des USB-Speicher-Infektions-Mechanismus ist bei Flame und Stuxnet derselbe. Das Flame-Modul in Stuxnet nutzte zudem eine Schwachstelle aus, die zu dieser Zeit noch unbekannt war und die eine Rechteausweitung ermöglichte, vermutlich handelte es sich um die Schwachstelle MS09-025 . Anschließend wurde das Flame-Plugin im Jahr 2010 wieder aus Stuxnet entfernt und durch zahlreiche unterschiedliche Module ersetzt, die neue Schwachstellen nutzten. Seit 2010 scheinen die beiden Entwicklungsteams unabhängig voneinander zu arbeiten.

Stuxnet

Stuxnet war die erste Cyberwaffe, die Industrieanlagen attackierte. Die Tatsache, dass Stuxnet auch gewöhnliche PCs auf der ganzen Welt infizierte, führte zu seiner Entdeckung im Juni 2010, obwohl die früheste bekannte Version des Schadprogramms bereits ein Jahr zuvor erschaffen wurde. Mit Duqu wurde ein weiteres Exemplar einer Cyberwaffe im September 2011 entdeckt. Im Gegensatz zu Stuxnet bestand die Hauptfunktion des Duqu-Trojaners darin, als Backdoor auf infizierten Systemen zu fungieren und sensible Informationen zu stehlen (Cyberspionage).

Duqu

Während der Analyse von Duqu wurden starke Ähnlichkeiten zu Stuxnet entdeckt. Es wurde deutlich, dass zwei Cyberwaffen entwickelt wurden, die dieselbe Plattform, namens Tilded, für ihre Angriffe nutzten [2]. Der Name stammt daher, dass Malware-Entwickler eine Präferenz für Dateinamen mit dem Muster „~d*.*” haben – in diesem Fall „Tilde-d“.
 
Flame

Im Rahmen von der zur UNO gehörenden Internationalen Fernmeldeunion (International Telecommunication Union – ITU) in Auftrag gegebenen Untersuchung entdeckte Kaspersky Lab im Mai 2012 dann Flame. Auf den ersten Blick erschien Flame komplett anders zu sein. Verschiedene Funktionen, wie die Größe der Schadsoftware und die Nutzung von LUA als Programmiersprache, deuteten darauf hin, dass Flame nicht mit den Schöpfern von Stuxnet und Duqu in Verbindung steht. Allerdings zeigen die neuen Erkenntnisse, dass die Geschichte von Stuxnet neu geschrieben werden muss und sie beweisen, dass die „Tilded“-Plattform mit der Flame-Plattform verbunden ist.

Die neuen Erkenntnisse im Detail

Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als „Resource 207“ bekannt ist. In der folgenden 2010er Version von Stuxnet wurde dieses Modul komplett entfernt. Das Modul „Resource 207“ ist eine verschlüsselte DLL-Datei und beinhaltet eine ausführbare Datei namens „atmpsvcn.ocx“, die 351.768 Bits groß ist. Diese Datei, weist zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf, wie Kaspersky Lab jetzt herausfand. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche MUTEX Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.
 
Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Die Schlussfolgerung: Der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet erfolgte in Form von Quellcode (also nicht in binärer Form). Die Hauptfunktion des „Resource 207“-Modul in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem entfernbare USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, ist mit dem von Flame komplett identisch.
 
„Trotz der neuen Erkenntnisse gehen wir davon aus, dass Flame und Tilded komplett verschiedene Pattformen sind, die bei der Entwicklung von verschiedenen Cyberwaffen genutzt wurden“, sagt Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Beide weisen verschiedene Architekturen sowie einzigartige Tricks auf, die bei der Systeminfizierung und der Ausführung ihrer Hauptaufgaben genutzt wurden. Die Projekte wurden in der Tat separat und unabhängig voneinander durchgeführt. Allerdings zeigen die neuen Erkenntnisse, wie die beiden Teams Quellcode von mindestens einem Modul in der frühen Entwicklungsphase ausgetauscht und dass sie mindestens einmal kooperiert haben. Was wir herausgefunden haben, ist ein starker Hinweis darauf, dass die Cyberwaffen Stuxnet/Duqu und Flame miteinander in Verbindung stehen.“

Montag, 11.06.2012 | 16:50 von Hans-Christian Dirscherl
Kommentieren Kommentare zu diesem Artikel (0)
1492155