Dans une version précoce de Stuxnet, l’on a retrouvé un …
Dans une version précoce de Stuxnet, l’on a retrouvé un composant du récent malware Flame, ce qui démontre une collaboration entre leurs développeurs, selon Kaspersky Lab.
Dans un article posté sur son blog, Kaspersky Lab annonce que dans une première version de Stuxnet (Stuxnet.a), un module du maliciel Flame récemment découvert a été trouvé. Et d’une analyse, il est apparu que dans le deux cas, c’est manifestement le même code-source qui a été utilisé, ce qui signifie, d’après Roel Schouwenberg, senior researcher chez Kaspersky Lab, qu’il y a eu pour le moins à cette occasion une collaboration étroite entre les deux groupes de développeurs. Kaspersky Lab a tiré la chose au clair lors d’une nouvelle étude d’anciens logs, d’où il ressortait qu’un fragment de ‘malware’ (Tocy.a) ressemblant à Flame était répertorié comme une version de Stuxnet. Cette similitude n’avait pas été détectée plus tôt, parce que la plupart des études de Stuxnet étaient effectuées sur des versions ultérieures du maliciel. Cela aurait alors engendré une première conclusion erronée que les maliciels Flame et Stuxnet/DuQu n’avaient rien en commun.
Concrètement, ‘resource 207’ retrouvé dans cette version précoce de Stuxnet.a, et responsable notamment du mécanisme de propagation de Stuxnet (via les clés USB), semble être en réalité un ‘plug-in’ Flame. Le module exploitait également un cinquième point faible MS ‘zero day’ non encore corrigé à l’époque (MS09-025). Cela signifie que Flame existait déjà avant Stuxnet et était en 2009 déjà suffisamment mature pour être utilisé dans un autre malware. En outre, Kaspersky Lab place Flame dans la même catégorie que Stuxnet/DuQu en tant que véritable cyber-arme.
Plus tard, ce module a disparu de Stuxnet, ce qui indique que les deux équipes de développeurs ont ensuite suivi leur propre chemin. Mais, affirme Vitaly Kamlyk de Kaspersky Lab, cela est révélateur de l’organisation concernée, constituée probablement plus que d’une simple équipe ou d’un seul département, et dont fait aussi partie l’équipe Stuxnet. Voilà qui apporte de l’eau au moulin de l’opinion généralement acceptée, selon laquelle Stuxnet et à présent aussi Flame ont été développés par des équipes de spécialistes à la demande d’un gouvernement.
Kasperky Lab insiste aussi sur le fait que les nouvelles découvertes, en combinaison avec la MD5 hash collision attack récemment décelée dans ce malware, indiquent qu’il s’agit formellement de cyber-armes sophistiquées, pour lesquelles il n’existe absolument aucune règle en matière d’utilisation. Eugene Kasperski, CEO de Kaspersky Lab, a demandé une fois de plus d’élaborer des accords internationaux en la matière.
