Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев обнаружил связь между программой Flame и платформой Tilded, на которой были построены Stuxnet и Duqu. Таким образом, появляются первые свидетельства, что все три вредоносные программы распространились из одного источника и созданы при участии одних и тех же разработчиков.
Ранее та же «Лаборатория Касперского» заявляла, что нет никакой связи между Flame и Tilded, но теперь они провели более глубокий анализ Stuxnet — и в корне изменили своё мнение. Всё дело самой первой, малоизвестной версии Stuxnet, относящейся к июню 2009 года. Этот ранний вариант вредоносной программы был выявлен относительно поздно, когда основной вариант Stuxnet уже подвергся тщательному обследованию, так что раннюю версию исследователи не особенно внимательно изучали. А вот там и находится ключ к загадке.
Самым значительным отличием первой версии Stuxnet является ресурс 207, который в версии 2009 года имел размер 520 192 байта и полностью отсутствовал в версии 2010 года.
Ресурс 207 выполняет функцию инфектора съёмных дисков. На время создания вируса эта уязвимость ещё не была публично известна и являлась 0day.
Так вот, базовый модуль Flame во многом совпадает с тем самым ресурсом 207. Можно даже сказать, что это и есть Flame, пишет Александр Гостев, «точнее, это proto-Flame — модуль, который однозначно имеет много общего с тем mssecmgr.ocx, в который превратился Flame к 2012 году».
Что это такое?
Ресурс 207 представляет собой зашифрованный файл, который содержит еще один PE-файл (351 768 байт).
Например, на скриншотах внизу показан код DecryptString из ресурса 207 и mssecmgr.ocx. Как говорится, найдите пять отличий.
После изучения обеих программ, а также эволюции образцов вирусов в антивирусных базах, Александр Гостев делает следующие выводы:
Существовало две независимые команды разработчиков, которые условно можно назвать Team F (Flame) и Team D (Tilded). Каждая из этих команд как минимум с 2007-2008 годов вела разработку собственных платформ.
В 2009 году часть кода платформы Flame была использована в Stuxnet. По нашему мнению, использовались именно исходные коды, а не готовые бинарные модули. С 2010 года платформы продолжали развиваться независимо друг от друга, однако взаимодействуя друг с другом как минимум на уровне использования одних и тех же уязвимостей.
