You Are Reading

.

Compartelo:
0

Códigos compartidos indican que creadores de Flame y Stuxnet trabajaron juntos

Jesus Bourne 27 de junio de 2012
Investigadores de Kaspersky Lab dicen que el mismo código se comparte en las dos amenazas, y que hubo un exploit en Stuxnet que no se conocía.


Una sección de código común entre ambas amenazas reveló que los desarrolladores de Stuxnet y del malware Flame compartieron su trabajo, comentan el día de hoy los investigadores de Kaspersky Lab.

Había dos equipos independientes, Flame precedía en desarrollo a Stuxnet y cada equipo desarrolló su propia plataforma de código desde 2007-2008 como máximo, dijeron los investigadores en un programa de la conferencia de prensa web (pero no se registran). Ambos proyectos fueron patrocinados por el Estado, creen los expertos.

Por otra parte, Stuxnet A - una variante temprana del malware – incluye un previo descubrimiento de un exploit  de elevación de privilegios de Windows. Los expertos creen que el malware fue desarrollado para sabotear el programa nuclear de Irán, dijo a los periodistas Roel Schouwenberg, investigador senior de  Kaspersky Lab.

"Tenemos una nuevo día cero", dijo refiriéndose a un ataque que aprovecha una vulnerabilidad previamente desconocida y sin parches. "Fue un día cero desde el momento de su creación y lo más probable es que también en el momento de la implementación."

Eso eleva a cinco el número de exploits de día cero utilizados por Stuxnet. El exploit, creado en febrero de 2009 es "sorprendentemente similar" a uno parchado por Microsoft en junio de 2009, dicen los investigadores.

Stuxnet.A, que data de junio de 2009, contiene un módulo denominado "Recurso 207", un cifrado de archivos de una biblioteca de vínculos dinámicos con un archivo ejecutable que comparte el código con Flame, comentan los investigadores de Kaspersky.

El recurso 207 no estaba en Stuxnet B, que salió en 2010. La función principal del código de Stuxnet es la distribución de la infección de una máquina a otra a través de unidades extraíbles USB y para explotar una vulnerabilidad en el kernel de Windows para obtener mayores privilegios del sistema, de acuerdo con un comunicado de la prensa de Kaspersky.

El código responsable de la difusión del malware a través de los controladores de dispositivos USB es idéntico al utilizado en Flame, comentaron los investigadores. Ambos usan la función AutoRun de Windows.

Inicialmente, los investigadores de Kaspersky especularon sobre los proyectos se desarrollaron en paralelo, pero no se decidían en la conclusión de si se han desarrollado o han sido encargados por la misma organización. Ahora han establecido un vínculo más definido y la historia es un poco más clara.

Creemos firmemente que la plataforma de Flame es anterior a la plataforma de Stuxnet. Parece que la plataforma de Flame fue un pedal de arranque para el proyecto de Stuxnet", dijo Schouwenberg. 

"Las operaciones fueron por caminos separados, tal vez porque el código de Stuxnet era lo suficientemente maduro para ser desplegado en ese momento. Ahora estamos 100 por ciento seguros de que el Stuxnet y los grupos de Flame trabajaron juntos."

Sin embargo, Alexander Gostev, experto y jefe de seguridad de Kaspersky Lab, tuvo la precaución de poner de relieve las diferencias entre Flame y Stuxnet, cuya arquitectura se conoce como la "plataforma Tilded". 

"A pesar de los hechos recién descubiertos, estamos seguros de que Fame y Tilded son plataformas completamente diferentes, que se utilizan para desarrollar múltiples ciber-armas", dijo en el comunicado de prensa.

Continuó:

Cada uno tiene diferentes arquitecturas, con sus propios y únicos trucos que se utilizaron para infectar los sistemas y ejecutar las tareas primarias. Los proyectos eran de hecho separados e independientes el uno del otro. 

Sin embargo, los nuevos hallazgos revelan cómo los equipos compartieron el código fuente de al menos un módulo en las primeras etapas de desarrollo de ambos, lo que demuestra que ambos grupos cooperaron al menos una vez. Lo que hemos encontrado es una evidencia muy fuerte de que las armas cibernéticas Stuxnet / Duqu y Flame están conectados.

A pesar de que Stuxnet tiene como objetivo instalaciones industriales, también infectó PCs ordinarias y como resultado fue descubierto en junio de 2010, un año después de que la versión más antigua fue creada, segun se creé.

En septiembre de 2011 llegó Duqu, que tiene un código idéntico al de Stuxnet, pero que parecía diseñado para el espionaje cibernético, en lugar de sabotaje. Flame fue descubierto el mes pasado.

Al igual que Stuxnet, Flame ha resultado ser complejo. Sus creadores usaron nombres de dominio registrados con nombres falsos para comunicarse con las computadoras infectadas en el  Medio Oriente, por lo menos durante cuatro años.

Flame fue capaz de extenderse a nuevas redes mediante el uso de un falso certificado digital de Microsoft, una técnica usada por Stuxnet. Utilizando un sofisticado método de ataque criptográfico. Después de que Flame fue expuesto, sus creadores iniciaron un programa de auto-destrucción en un intento de hacer desaparecer el malware.

En un artículo publicado a principios de este mes, el reportero David Sanger del New Yorke Times confirmó arraigadas sospechas de que EUA estaba detrás de Stuxnet y Flame.

Sanger, citando fuentes anónimas del gobierno de Estados Unidos, escribió que Stuxnet fue desarrollado por EUA, posiblemente con la ayuda de Israel, como una manera de anticiparse a un ataque militar contra Irán por su programa nuclear. Israel ha negado su participación respecto a Stuxnet y  Flame, mientras que EUA no ha marcado distancia.

Aquí se muestra un resumen de los últimos hallazgos Kaspersky Lab:

En el momento en que Stuxnet fue creado (en enero-junio de 2009), la plataforma de Flame ya existía (actualmente marcamos la fecha de creación como el verano de 2008) y ya tenían una estructura modular.

El código de Stuxnet de 2009 utilizó un módulo construido en la plataforma de Flame, probablemente creado específicamente para operar como parte de Stuxnet.

El módulo fue removido de Stuxnet en 2012, debido a la adición de un nuevo método de propagación (la vulnerabilidad MS10-046) en lugar de la "vieja" autorun.inf.

El módulo de Flame en Stuxnet explota una vulnerabilidad que no se conocía en ese momento, un verdadero día cero. Esto permitió una escalada de privilegios en Windows, posiblemente el exploit MS09-025.

Después de 2009, la evolución de la plataforma de Flame continuó de manera independiente a Stuxnet.

Kaspersky analiza los detalles de sus descubrimientos en un blog del día de hoy.

Fuente: Cnet News 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT