返回新闻列表

资源207:卡巴斯基实验室研究证实Stuxnet与Flame的开发者有关联

        2012年5月,Flame(火焰)恶意程序的发现为我们揭示了迄今为止最复杂的网络武器的面目。在发现之初,我们还没有确凿的证据证明其开发是由开发Stuxnet和Duqu的团队完成的。再加上Flame与Duqu/Stuxnet在开发方式上的差异,我们倾向于判断这些项目是由不同的团队创建的。然而,随着研究的深入,卡巴斯基实验室的专家们发现,事实上这些团队至少在开发的早期阶段曾经合作过。

研究情况

  • 卡巴斯基实验室发现了来自Stuxnet早期2009版本中的一个模块——“资源207”(Resource 207),实际上也是Flame中的插件之一。
  • 这就意味着当Stuxnet蠕虫在2009年初创建之时,Flame平台就已经存在了。同样在2009年,至少有一个Flame模块的源代码在Stuxnet中被使用。
  • 该模块被用来通过USB驱动传播感染。Flame中USB驱动感染原理的代码与Stuxnet一致。
  • Stuxnet中的Flame模块利用到了一个当时未知的漏洞使得恶意程序可以提升权限,推测可能是MS09-025。
  • 随后,Flame的插件模块于2010年被撤出Stuxnet,并由几个可利用新漏洞的模块代替。
  • 从2010年开始,两支开发队伍独立工作。此后可能仅在交换新“零日漏洞”时有过合作。

背景分析

        Stuxnet是首个将目标锁定在工业设施上的网络武器,在2010年6月被发现时,Stuxnet还感染普通的计算机。其实,Stuxnet最早的已知版本早在一年之前就已创建。另外一个网络武器,也就是众所周知的Duqu,于2011年9月被发现。与Stuxnet不同,Duqu木马在受感染系统中的主要是用作后门,从而盗取机密信息(网络间谍活动)。

        在Duqu的分析过程中,发现其有很多与Stuxnet极其相似的地方,这也揭示了两者其实是使用的同一个攻击平台——“Tilded平台”。该平台的命名源于其开发者对“~d*.*”文件名格式的偏爱,因此,我们将其称为“Tilde-d”。2012年5月,Flame(火焰)恶意程序在由卡巴斯基主导,国际电联发起的一项调查中被发现。初看上去,Flame跟前面两个恶意程序完全不同。从一些特征上来分析,例如该恶意程序的大小,对LUA编程语言的使用以及其多样化的功能,都表现出与Duqu或Stuxnet没有任何关系。然而,新的分析结果的出现却大大改写了Stuxnet的历史,毋庸置疑,“Tilded”平台的确与Flame平台有关联。

新发现

        据推测,Stuxnet最早的已知版本是在2009年6月被创建的,其中包含一种特殊的模块,被称为“资源207”(Resource 207)。然而在随后的Stuxnet 2010版本中,该模块被完全移除。“资源207”模块是一个加密的DLL文件,其中包含有一个大小为351,768字节的可执行文件,名字为“atmpsvcn.ocx”。这个特别的文件,经过卡巴斯基实验室的调查发现,与Flame中使用的代码有很多共同点。相似之处包括对互斥对象的命名,解密字符串时所用的算法,以及对文件命名的相似方法。

        此外,在Stuxnet和Duqu各自的模块中都有很多相同或类似的代码。因此,可以得出这样的结论,Flame与Duqu/Stuxnet幕后开发团队有过交流,并且是以源代码的形式(而非二进制的形式)。Stuxnet的“资源207”模块的主要功能是从一台计算机感染感染另一台计算机,传播的介质是USB存储设备,并利用了Windows内核中的漏洞提升权限。这种利用USB存储设备传播恶意程序的代码与Flame中使用的代码一致。

        卡巴斯基实验室首席安全专家Alexander Gostev评论道:“除了这些新的发现,我们相信Flame与Tilded是完全不同的平台,这些平台都用来开发各种各样的网络武器。它们有着各自不同的架构,感染系统及执行主要任务的方式也不同。这两个项目应该是彼此独立的。然而,新的发现表明它们的幕后团队在早期的开发中,曾经共享过至少一个模块的源代码,进一步证明他们至少有一次团队合作。目前我们所发现的证据十分有力的证明了Stuxnet/Duqu和Flame这些网络武器都是有关联的。

        有关此次调查的具体细节,请阅读Securelist.com上的相关文章。有关更多Flame恶意程序的内容,请参考卡巴斯基实验室的专家们准备的关于Flame的问题与回答。