2012年5月,卡巴斯基率先宣布发现攻击伊朗、以色列等多个中东国家的恶意程序,并将其命名为Flame(火焰),于是Flame一举成为政治和互联网中的最热名词。
近日,始终领导该病毒研究的卡巴斯基又有创新发现曾经席卷全球的Stuxnet(震网)病毒及Duqu病毒,同Flame(火焰)病毒有着深层次的关联。另据卡巴斯基的研究显示,Stuxnet被创建时(2009年1月-6月),Flame平台早已经存在(目前,卡巴斯基判定其创建时间不晚于2008年夏季),并且已经具备模块化结构。
随着研究的深入,卡巴斯基实验室的专家们发现,以上恶意程序的团队至少在开发的早期阶段曾经合作过“资源207”(Resource 207)是证实这个观点的铁证。根据卡巴斯基提供的研究数据显示,Stuxnet与Duqu使用了同一个攻击平台“Tilded平台”。该平台因其开发者对“~d*.*”文件名格式的偏爱,故此得名。初看上去,Flame从特征分析上跟前面两个恶意程序完全不同,例如该恶意程序的大小,对LUA编程语言的使用以及其多样化的功能等。然而,新的分析结果的出现却大大改写了Stuxnet的历史。Stuxnet最早的已知版本是在2009年6月被创建的,其中包含一种特殊的模块,被称为“资源207”(Resource 207),在随后的Stuxnet 2010版本中,该模块被完全移除。“资源207”模块是一个加密的DLL文件,其中包含有一个大小为351,768字节的可执行文件,名字为“atmpsvcn.ocx”。经过卡巴斯基实验室的调查发现,这个特别的文件与Flame中使用的代码有很多共同点,包括对互斥对象的命名,解密字符串时所用的算法,以及对文件命名的相似方法。
此外,在Stuxnet和Duqu各自的模块中都有很多相同或类似的代码。因此,可以得出这样的结论,Flame与Duqu/Stuxnet幕后开发团队有过交流,并且是以源代码的形式(而非二进制的形式)。Stuxnet的“资源207”模块的主要功能是从一台计算机感染感染另一台计算机,传播的介质是USB存储设备,并利用了Windows内核中的漏洞提升权限。这种利用USB存储设备传播恶意程序的代码与Flame中使用的代码一致。
卡巴斯基实验室首席安全专家Alexander Gostev表示:“Flame与Tilded是完全不同的平台,但都用来开发各种各样的网络武器。它们有着各自不同的架构和感染系统,且执行主要任务的方式也不同。因此这两个平台的研发项目应该是彼此独立的。然而,新的发现表明它们的幕后团队在早期的开发中,曾经共享过至少一个模块的源代码,进一步证明他们至少有一次团队合作。”
网友评论