二恶意软件,同一支球队?俄罗斯安全公司卡巴斯基刚刚演示Stuxnet 和 Flame 有一些共同点,但在第一次分析中并未发现。卡巴斯基事实上表示,这是两个并行的项目,编码非常不同,因此似乎没有共同的作者。
但在仔细研究了 Flame,特别是其众多模块之一后,卡巴斯基修改了判断,现在确信 Stuxnet 和 Flame 的创建者之间至少存在一种联系。
他们的发现涉及 Stuxnet 第一个版本中的一段特定代码,该代码可以追溯到 2009 年:确实有一个名为“Resource 207”的模块,该模块随后被合并到该蠕虫病毒后续版本中的其他模块中。“资源 207 是一个加密的 DLL 文件,隐藏了一个名为 atmpsvcn.ocx [...] 的可执行文件。这个特定的文件 [...] 与 Flame 中使用的代码有很多共同点。这些惊人的相似之处包括相同的对象名称、所使用的解密算法以及相似的文件命名方法。卡巴斯基在一份新闻稿中表示。
资源 207,Flame 的模块之一
该公司指出,该资源 207 只不过是 Flame 的模块之一。它用于通过 USB 驱动器将感染从一台计算机传播到另一台计算机。它是 Stuxnet 传播的主要手段之一,当时依赖于零日漏洞,自 Microsoft 更正后。
卡巴斯基表示,这证明了几件事。 Stuxnet 和 Flame 的作者不仅有联系:他们还合作并共享了这个特定的模块。但这一发现也表明,Flame 早于 Stuxnet,因为卡巴斯基估计该间谍工具的创建时间为 2008 年夏天,而 Stuxnet 则创建于 2009 年。Stuxnet 的作者只需恢复 Flame 的一个模块即可改善网络安全。旨在打击伊朗核设施的武器。
然而,卡巴斯基指出,如果两个团队共享一个模块的源代码,那么这两个恶意代码在编程上仍然非常不同,这意味着它们是由不同的团队编程的,偶尔会见面分享一些程序。
这些揭露可能会在国际上产生重大影响:几天前,这纽约时报据透露,Stuxnet是根据布什政府的命令开发的,以色列为其设计做出了贡献。
