2012年6月13日 星期三

研究人員發現Flame和Stuxnet之間的直接關聯


研究人員發現Flame和Stuxnet之間的直接關聯

StuxnetDuqu病毒都是基於Tilded平台研發,卡巴斯基在追查各病毒的發展之後,發現Tilded平台在2009年2月所使用的模組Resource 207與Flame病毒的一個模組非常類似。

卡巴斯基表示,Flame病毒和Stuxnet病毒曾使用相同的程式碼,這意謂Flame病毒可能也是由美國及以色列政府所資助開發的。

卡巴斯基實驗室研究專家Alexander Gostev表示, Stuxnet與Duqu病毒都是基於Tilded平台研發,在剛發現Flame病毒的時候,因為Flame病毒與Tilded平台的行為模式和程式架構完全不同,研究人員以為兩者之間完全沒有關連。

不過在追查各病毒的發展之後,發現Tilded平台在2009年2月所使用的模組Resource 207與Flame病毒的一個模組非常類似。該模組利用微軟Windows 2009年6月修補的一個漏洞,可以透過USB儲存設備感染而散佈病毒。

Alexander Gostev表示,兩者非常相似,導致當時的病毒軟體的判斷系統會將Flame病毒誤判為Stuxnet。2010年之後Stuxnet刪除該模組,研究人員認為可能是已經用不到,或者是為了避免Flame病毒曝光。

兩個病毒間的Resource 207模組差異並不大,但非常明顯。根據卡巴斯基的判斷,該模組是由Flame病毒開發團隊所製作,再把程式碼分享給Tilded平台的開發人員。卡巴斯基先前就判斷這些病毒是個別的團隊接受同一個雇主贊助,因此將分享程式碼的舉動,視為證據之一。

除了程式碼之外,這些病毒發動攻擊的時間點也引起研究人員注意。例如賽門鐵克先前研究發現,2009年6月22日一台遭受Stuxnet攻擊的設備感染病毒時,該版本病毒才編譯完成12小時。其他版本編譯完成與第一次感染的時間差也僅有6/14/26天。這意謂有其他惡意軟體在Stuxnet攻擊之前提供資訊,所以可以在調整病毒後迅速感染目標。

根據這些證據,卡巴斯基的研究人員認為Flame病毒及Tilded平台兩個團隊在2007年或2008年之前就開始開發各自的平台,其中Flame病毒至少在2008年夏季就已經存在而且模組化,目前的Stuxnet病毒可能在2009年上半年開始發展,而且曾借用Flame病毒的一個模組,不過後來刪除該模組。(編譯/沈經)

原文出處請參閱

轉載自《iThome

沒有留言:

張貼留言