Um módulo do Flame foi incorporado numa versão inicial do Stuxnet, revelam investigadores do Kaspersky Lab.
Investigadores em segurança do fabricante de antivírus do Kaspersky Lab encontraram evidências de que as equipas de desenvolvimento por trás das ameças de ciberespionagem Flame e Stuxnet colaboraram entre si.
Os investigadores da Kaspersky determinaram que o Flame, que se acredita ter sido criado em 2008, e uma versão de 2009 do Stuxnet partilharam um componente que servia o mesmo propósito e teve o código-fonte similar.
Em Outubro de 2010, investigadores da Kaspersky analisaram uma amostra que tinha sido automaticamente classificada como uma variante do Stuxnet pelos sistemas automatizados da empresa. Na altura, os investigadores descartaram a detecção como um erro porque o código da amostra não se parecia em nada com o código no Stuxnet.
No entanto, após o Flame ter sido descoberto no final de Maio, os investigadores da Kaspersky procuraram no seu banco de dados por amostras de malware que pudesse estar relacionadas com a nova ameaça e descobriram que a amostra detectada como Stuxnet em 2010 era na verdade um módulo do Flame.
O módulo utiliza um truque no autorun.inf para infectar computadores através de unidades USB e explora uma já corrigida vulnerabilidade na elevação de privilégio (EoP) para executar código malicioso com privilégios completos para acesso ao sistema.
Após investigação, os analistas da Kaspersky determinaram que o Stuxnet.A, que foi criado no início de 2009, usa o mesmo truque e vulnerabilidade no autorun.inf para se espalhar através de “drives” USB. Na verdade, o código-fonte responsável por este é quase idêntico ao do módulo do Flame.
“Parece que a plataforma do Flame foi usada para acelerar a plataforma Stuxnet”, disse Roel Schouwenberg, investigador sénior da equipa de investigação e análise global do Kaspersky Lab, numa teleconferência com a imprensa.
Os investigadores da Kaspersky já sabiam que o Stuxnet e o Flame usaram a mesma vulnerabilidade do EoP, mas isso não foi uma prova conclusiva de que os seus programadores tinham cooperado. A vulnerabilidade poderia ter sido criada por uma terceira parte que a teria vendido a ambas as equipas, disse Schouwenberg.
No entanto, a nova descoberta sugere que os programadores das duas ameaças de malware partilharam na realidade código-fonte, que é propriedade intelectual e normalmente não é partilhada entre equipas independentes. “Estamos 100 por cento certos de que os grupos do Flame e do Stuxnet trabalharam juntos”, disse Schouwenberg.
Quando a Microsoft corrigiu a vulnerabilidade EoP em 2009 – poucos meses depois da criação do Stuxnet.A – os programadores do Stuxnet pararam de usar o módulo do Flame para propagação e começaram a explorar uma nova vulnerabilidade, que se baseou em ficheiros LNK (de atalhos ou “shortcuts”) mal formados, para se propagar por “drives” USB.
Curiosamente, o código da vulnerabilidade do Stuxnet.A emprestado do módulo do Flame é muito semelhante ao código para uma diferente vulnerabilidades EoP que está presente em versões posteriores do Stuxnet. Os investigadores acreditam que ambas as secções de código foram escritos pelo mesmo programador.
A teoria apresentada pelos investigadores da Kaspersky é que o Flame e o Stuxnet foram criados por duas equipas independentes como parte de duas operações financiadas pelo mesmo Estado. O Flame foi provavelmente usado para espionagem e o Stuxnet para sabotagem, disse Schouwenberg.
De acordo com uma recente reportagem do New York Times, que cita fontes anónimas da administração Obama, o Stuxnet foi criado pelos governos dos EUA e Israel como parte de uma operação secreta chamada Jogos Olímpicos com o objetivo de incapacitar o Irão a produzir combustível para armas nucleares.