Der Antiviren-Hersteller Kaspersky hat ein Modul entdeckt, das ursprünglich im Rahmen von Flame entwickelt wurde, später dann aber bei einer Stuxnet-Version zum Einsatz kam. Bislang hatten Virenforscher wenig Ähnlichkeiten zwischen den beiden Super-Würmern gefunden, außer dass beide im Aufgabenbereich von Geheimdiensten zum Einsatz kamen.
Die Stuxnet-Komponente "Ressource 207" stammt angeblich aus Flame. 
Bild: Kaspersky "Ressource 207" ist der interne Name einer Komponente der Stuxnet-Version von 2009, die ursprünglich für deren Verbreitung über USB-Sticks verantwortlich war, aber später dann ersetzt wurde. Sie soll laut einem Blog-Eintrag von Kaspersky so eng mit dem Flame-Modul atmpsvcn.ocx verwandt sein, dass der Virenanalyst Alexander Gostev sogar vermutet, dass der Stuxnet-Baustein zunächst auf der "Flame-Plattform" entwickelt und dann erst später in Stuxnet integriert wurde.
"Ressource 207" nutzte nach der Infektion sogar eine Sicherheitslücke im Windows-Kernel win32k.sys aus, um an höhere Rechte zu gelangen. Diese Lücke war zum Zeitpunkt der Entdeckung von Stuxnet noch nicht bekannt – also ein echter Zero-Day-Exploit (0day).
Gostev spekuliert, dass es zwei Entwickler-Teams gab, zwischen denen zwar ein gewisser Austausch stattfand, die aber ihre jeweiligen Projekte seit etwa 2007/08 getrennt entwickelt haben. Das fragliche Modul sei wahrscheinlich vom Flame-Team speziell für Stuxnet entwickelt worden. Dies würde erklären, warum es sonst so wenig Ähnlichkeiten zwischen den beiden Super-Würmern gibt. Andere Erklärungen – wie von Dritten eingekaufte Exploits – diskutiert der Blog-Eintrag allerdings nicht.
Als treibende Kraft bei Entwicklung und Einsatz von Stuxnet hatte erst kürzlich die New York Times die US-Regierung zunächst unter Bush und dann auch Obama ausgemacht. Vor allem letzterer sah demnach darin eine effiziente Methode, das iranische Atomprogramm lahmzulegen. Flame wurde ebenfalls schwerpunktmäßig im Iran eingesetzt; über seine Urheber gibt es bislang aber nur Spekulationen. (ju)
0 Kommentare:
Kommentar veröffentlichen