Redactie Dutchcowboys
De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
De ontdekking van de Flame-malware vorige maand onthulde het meest complexe cyberwapen tot op heden. Ten tijde van de ontdekking waren er geen sterke bewijzen die de ontwikkelaars van Flame aan die van Stuxnet en Duqu koppelden. De manier waarop Flame ontwikkeld is verschilt met die van Duqu/Stuxnet, waardoor de conclusie werd getrokken dat ze door verschillende teams zijn gemaakt. Experts van Kaspersky Lab hebben echter ontdekt dat de teams in elk geval één keer hebben samengewerkt in het beginstadium van de ontwikkeling. De feiten in het kort:
– Kaspersky Lab heeft ontdekt dat een module uit de 2009-versie van Stuxnet – bekend als “Resource 207” – eigenlijk een Flame-plugin was.
– Dat betekent dat het Flame-platform al bestond toen de Stuxnet-worm in 2009 werd gecreëerd. De broncode van minimaal één Flame-module is gebruikt in Stuxnet.
– Deze module is gebruikt om de infectie te verspreiden via USB-drives. De code van het USB-infectiemechanisme in Flame en Stuxnet is identiek.
– De Flame-module in Stuxnet maakte ook gebruik van een kwetsbaarheid die op dat moment nog onbekend was en die het mogelijk maakte om rechten te verhogen, waarschijnlijk MS09-025.
– Vervolgens is de Flame-plugin in 2010 verwijderd uit Stuxnet en vervangen door verschillende andere modules die gebruikmaakten van nieuwe kwetsbaarheden.
– Vanaf 2010 hebben de twee ontwikkelingsteams onafhankelijk van elkaar gewerkt, met waarschijnlijk als enige samenwerking het uitwisselen van kennis over de nieuwe “zero-day”-kwetsbaarheden.
“Ondanks deze nieuwe feiten zijn we ervan overtuigd dat Flame en Tilded compleet verschillende platformen zijn die worden gebruikt om meerdere cyberwapens te ontwikkelen,” zegt Alexander Gostev, Chief Security Expert van Kaspersky Lab. “Ze hebben ieder hun eigen unieke trucs die gebruikt worden om systemen te infecteren en hoofdtaken uit te voeren. De projecten stonden inderdaad los van elkaar. De nieuwe bevindingen tonen echter wel aan dat de groepen minstens eenmaal de broncode van ten minste één module hebben uitgewisseld in het beginstadium van de ontwikkeling. We hebben zeer sterk bewijs gevonden dat de cyberwapens Stuxnet/Duqu en Flame verbonden zijn.“
Stuxnet
Stuxnet was het eerste cyberwapen dat zich richtte op industriële faciliteiten. Omdat Stuxnet ook wereldwijd reguliere PC’s infecteerde, werd het in juni 2010 ontdekt. De oudste versie van Stuxnet die bekend is, stamt uit 2009. Het tweede voorbeeld van een cyberwapen, bekend als Duqu, werd ontdekt in september 2011. In tegenstelling tot Stuxnet werd Duqu gebruikt als achterdeur in besmette systemen waarmee gevoelige gegevens werden gestolen (cyberspionage). Tijdens de analyse van Duqu werden sterke overeenkomsten met Stuxnet gevonden waaruit bleek dat de twee cyberwapens gebruik maakten van hetzelfde aanvalsplatform, het “Tilded platform”. De nieuwe feiten wijzen zonder twijfel uit dat het Tilded-platform iets te maken heeft met het Flame-platform.
Nieuwe ontdekkingen
De eerste bekende versie van Stuxnet, waarvan wordt aangenomen dat deze in juni 2009 is gecreëerd, bevat een speciale module genaamd “Resource 207”. Deze module is in latere versies van Stuxnet volledig verwijderd. De Resource 207-module is een gecodeerd DLL-bestand en bevat een uitvoerbaar bestand met een grootte van 351,768 bytes met de naam “atmpsvcn.ocx”. Dit specifieke bestand heeft een hoop gemeen met de code die wordt gebruikt in Flame, ontdekten onderzoekers van Kaspersky Lab. De lijst van opvallende overeenkomsten bevat onder andere namen van dezelfde exclusieve objecten, het algoritme dat wordt gebruikt om strings te ontcijferen en een vergelijkbare aanpak in het geven van bestandsnamen.
Meer details over het onderzoek kunnen gelezen worden in het artikel op Securelist.com.
Verder lezen over Kaspersky Lab
Cybercrime02.05.2024
World Password Day: omdat we nog steeds niet nadenken over wachtwoordgebruik
Cybercrime23.04.2024
Meer dan 1 op de 10 mensen deelt digitale, intieme content
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Cybercrime09.11.2023
Flinke toename in cyberaanvallen gericht op gamers
Cybercrime12.04.2023
Ook hackers volgen alle trends: Cryptocurrency phishing groeit met 40%
Cybercrime10.03.2023
Digitaal geweld via stalkerware toont weinig tekenen van afname
Cybercrime27.01.2023
Ook cybercriminelen haken in op The Last of Us
The Last of ... scams
Cybercrime26.07.2022
Meer dan 1,5 miljoen mensen hun bestanden terug via No More Ransom
Verder lezen over Malware
Cybercrime01.07.2024
Temu wordt nu zelfs bestempeld als gevaarlijke malware
Online20.05.2024
5 tips om online veilig te zijn
Cybercrime15.05.2024
App Store onderschept meer dan 7 miljard dollar aan mogelijk frauduleuze transacties
En dat in slechts 4 jaar tijd
Cybercrime08.05.2024
Cybercriminelen maken sneller misbruik van nieuwe kwetsbaarheden
Zo blijkt uit nieuw Global Threat Landscape Report van Fortinet
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024
Flinke toename datingfraude: In 2023 bedroeg schade méér dan 7 miljoen euro
75% meer dan in 2022
Cybercrime19.01.2024
Zo wapen je je tegen ransomware
Cybercrime04.12.2023