Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Kaspersky: Entwickler von Stuxnet und Flame standen in Verbindung

Cyberspionage 2.0

Kaspersky: Entwickler von Stuxnet und Flame standen in Verbindung

12. Juni 2012, 15:34 Uhr | David Ladner
Fortsetzung des Artikels von Teil 2

Neue Erkenntnisse

Die früheste von Stuxnet bekannte Version, die wahrscheinlich im Juni 2009 erstellt wurde, beinhaltete ein spezielles Modul, das als „Resource 207“ bekannt ist. In der folgenden 2010er Version von Stuxnet wurde dieses Modul komplett entfernt. Das Modul „Resource 207“ ist eine verschlüsselte DLL-Datei und beinhaltet eine ausführbare Datei namens „atmpsvcn.ocx“, die 351,768 Bites groß ist. Diese Datei, weist zahlreiche Ähnlichkeiten mit dem bei Flame genutzten Code auf, wie Kaspersky-Lab jetzt herausfand. Die Liste von auffallenden Gemeinsamkeiten beinhaltet eine einheitliche „MUTEX“ Namensgebung, den Algorithmus zur String-Entschlüsselung sowie einen gleichen Ansatz bei der Namensgebung.

Darüber hinaus scheinen die meisten Codesequenzen dieser Flame-Komponente identisch beziehungsweise ähnlich mit ihrem Stuxnet-Pendant zu sein. Die Schlussfolgerung: Der Austausch zwischen den Teams hinter Flame und Duqu/Stuxnet erfolgte in Form von Quellcode (also nicht in binärer Form). Die Hauptfunktion des „Resource 207“-Modul in Stuxnet bestand darin, die Infektion von Maschine zu Maschine zu verbreiten, indem entfernbare USB-Laufwerke und Schwachstellen im Windows-Kernel genutzt wurden, um eine Reihe von Rechten innerhalb des Systems zu erhalten. Der Code, der für die Verbreitung von Malware über USB-Laufwerke verantwortlich ist, ist mit dem von Flame komplett identisch.

„Trotz der neuen Erkenntnisse gehen wir davon aus, dass Flame und Tilded komplett verschiedene Pattformen sind, die bei der Entwicklung von verschiedenen Cyberwaffen genutzt wurden“, sagt Alexander Gostev, Chief-Security-Expert bei Kaspersky-Lab. „Beide weisen verschiedene Architekturen sowie einzigartige Tricks auf, die bei der Systeminfizierung und der Ausführung ihrer Hauptaufgaben genutzt wurden. Die Projekte wurden in der Tat separat und unabhängig voneinander durchgeführt. Allerdings zeigen die neuen Erkenntnisse, wie die beiden Teams Quellcode von mindestens einem Modul in der frühen Entwicklungsphase ausgetauscht und dass sie mindestens einmal kooperiert haben. Was wir herausgefunden haben, ist ein starker Hinweis darauf, dass die Cyberwaffen Stuxnet/Duqu und Flame miteinander in Verbindung stehen.“

  1. Kaspersky: Entwickler von Stuxnet und Flame standen in Verbindung
  2. Die Verbindung
  3. Neue Erkenntnisse

Lesen Sie mehr zum Thema

Kaspersky Lab GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Kaspersky warnt vor SideWinder

APT-Gruppe zielt nun auf Atomkraftwerke

Über 2 Millionen Bankkarten im Darknet

Kaspersky: 26 Millionen Windows-Geräte mit Infostealern infiziert

Kaspersky beklagt unzureichenden Schutz

Viele Unternehmen nutzen Sicherheitslösungen für Privatanwender

Matchmaker+
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
nexspace data centers GmbH

nexspace data centers GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Riello UPS GmbH

Riello UPS GmbH
Vodia Networks GmbH

Vodia Networks GmbH
Zyxel Networks A/S

Zyxel Networks A/S