Flame e Stuxnet sono parenti
I ricercatori identificano quello che appare essere il denominatore comune tra i malware più chiacchierati della storia recente. Che hanno probabilmente avuto un'origine comune ma sviluppo ed evoluzioni differenti.
Procede, presso i laboratori di Kaspersky, l'analisi del codice di Flame alla ricerca di nuovi indizi capaci di svelare il mistero delle origini del malware spione più complesso mai identificato. Un'analisi che è anche retroattiva, quella dei ricercatori moscoviti, e che proprio in vecchi sample catalogati negli anni passati ha scovato il possibile "anello mancante" in grado di legare Flame e Stuxnet.
Il succitato "missing link" è "resource 207", una DLL cifrata molto simile a un modulo usato in varianti meno recenti di Flame che il sistema di analisi automatizzato di Kaspersky aveva classificato come variante di Stuxnet. La DLL era stata in seguito abbandonata anche nel caso di Stuxnet, ma la sua esistenza starebbe a dimostrare un collegamento diretto fra i due malware.
Un altro importante indizio capace di confermare questo collegamento sarebbe l'impiego di un exploit zero-day con un attacco per l'elevazione dei privilegi, una falla chiusa da Microsoft nel 2009 e abbandonata anche dalle varianti più recenti di Stuxnet.
La conclusione dell'analisi di Kaspersky è che Flame rappresenti un vero e proprio "framework" di sviluppo di malware modulare, una piattaforma che con Stuxnet ha in comune l'origine ma che si è poi evoluta in maniera divergente - magari sviluppata da "altre mani" con accesso al codice sorgente originario...
Continua a leggere questa notizia su punto-informatico.it.
- [23/10/09] Security: Brasile, un paese ricco di banker
- [09/04/09] Cresce la minaccia dei worm
- [23/03/09] Conficker.C affila le armi per il primo Aprile
- [26/09/08] Kaspersky brevetta una tecnologia antimalware
- [04/11/07] L'inarrestabile ascesa dei Trojan