Cyberarmes Stuxnet et Flame : de troublantes similitudes


Une étude met en évidence l'existence d'un lien entre les développeurs de Stuxnet et de Flame
 
La découverte du malware Flame en mai dernier a dévoilé la cyberarme la plus complexe à ce jour. Lorsqu'il fut mis à jour, rien ne prouvait formellement que Flame ait été développé par la même équipe que Stuxnet et Duqu. La méthode de développement de Flame est également différente de celle de Duqu/Stuxnet, d'où la conclusion qu'ils étaient l'oeuvre d'équipes séparées. Cependant, une analyse approfondie, réalisée par les experts de Kaspersky Lab, révèle que ces équipes ont en fait coopéré au moins une fois aux premiers stades du développement.
 
En bref :
 
 • Kaspersky Lab a découvert qu'un module de la version de Stuxnet de début 2009, connu sous le nom « Resource 207 », se trouve être aussi un plugin de Flame.
 
 • Cela signifie que, lors de la création du ver Stuxnet début 2009, la plate-forme Flame existait déjà et que, dès 2009, le code source d'au moins un module de Flame a été utilisé dans Stuxnet.
 
 • Ce module, servant à propager l'infection via des clés USB, présente un mécanisme identique dans Flame et Stuxnet.
 
 • Le module Flame dans Stuxnet exploitait également une vulnérabilité inconnue à l'époque et permettant aussi d'atteindre les autorisations d'accès les plus élevées dans la hiérarchie (sans doute MS09-025).
 
 • Par la suite, le module Flame a été retiré de Stuxnet en 2010 et remplacé par différents autres mettant à profit de nouvelles vulnérabilités.
 
 • A partir de 2010, les deux équipes de développement ont travaillé chacune de leur côté, leur seule coopération supposée consistant à échanger leur savoir-faire sur les nouvelles failles « zero day ».

Stuxnet a été la première cyberarme ciblant les sites industriels. Sa découverte en juin 2010 fut possible, notamment, car ce programme malveillant avait également infecté des PC « normaux » à travers le monde, bien que sa plus ancienne version connue ait été créée un an plus tôt. Le cas suivant de cyberarme, aujourd'hui dénommée Duqu, a été détecté en septembre 2011. A la différence de Stuxnet, Duqu est un cheval de Troie ayant principalement pour but d'ouvrir une  porte dérobée (backdoor ) sur le système infecté afin d'y subtiliser des informations confidentielles (cyberespionnage).

Pendant l'analyse de Duqu, de fortes similitudes avec Stuxnet ont été découvertes, suggérant que les deux cyberarmes ont été conçues à l'aide de la même plate-forme d'attaque, « Tilded », dont l'appellation vient de la prédilection des développeurs de malwares pour les noms de fichiers sous la forme « ~d*.* », d'où « tilde-d ». Le malware Flame, mis au jour en mai 2012 à la suite d'une enquête déclenchée par l'Union internationale des télécommunications (UIT) et menée par Kaspersky Lab, était, de prime abord, totalement différent. Certaines caractéristiques, telles que la taille du programme malveillant, l'utilisation du langage de programmation LUA et la diversité de ses fonctionnalités, indiquaient toutes l'absence de lien entre Flame et les créateurs de Duqu ou Stuxnet. Cependant, l'apparition de nouveaux faits a entièrement réécrit l'histoire de Stuxnet et prouve, sans l'ombre d'un doute, que la plate-forme Tilded est bien liée à la plate-forme Flame.

Nouvelles découvertes
 
La première version connue de Stuxnet, supposée remonter à juin 2009, contient un module spécial appelé « Resource 207 ». Dans la version ultérieure de Stuxnet, en 2010, ce module a entièrement disparu. « Resource 207 » est un fichier DLL crypté, et cachant un exécutable nommé « atmpsvcn.ocx » de 351.768 octets. Ce fichier particulier, comme le révèle aujourd'hui l'enquête de Kaspersky Lab, présente de nombreux points communs avec le code utilisé dans Flame. Parmi ces ressemblances frappantes figurent des noms d'objets identiques, l'algorithme de décryptage employé ainsi que des méthodes similaires d'attribution des noms de fichiers.

Qui plus est, la plupart des sections de code paraissent être identiques ou voisines dans les modules respectifs de Stuxnet et de Flame, ce qui amène à conclure que les échanges entre Flame et les équipes Duqu/Stuxnet ont pris la forme de code source (par opposition à du code binaire). La principale fonctionnalité du module « Resource 207 » de Stuxnet a répandu l'infection d'une machine à une autre, en passant par des clés USB amovibles et en exploitant une vulnérabilité du noyau Windows pour obtenir une élévation des autorisations dans le système. Le code responsable de la distribution du malware par les clés USB est en tous points semblables à celui utilisé dans Flame.

Alexander Gostev, expert en sécurité de Kaspersky Lab, commente à DataSecuritybreach.fr : « En dépit des récentes découvertes, nous restons convaincus que Flame et Tilded sont des plates-formes entièrement différentes, servant à développer des cyberarmes multiples. Chacune présente une architecture différente avec ses propres stratagèmes pour infecter les systèmes et exécuter ses principales tâches. Les deux projets ont bien été menés séparément et indépendamment l'un de l'autre. Cependant, les nouvelles observations révélant que les équipes ont partagé le code source d'au moins un module durant les premières phases de développement prouvent que les deux groupes ont coopéré au minimum une fois. Voilà qui démontre un lien très probable entre les cyberarmes Stuxnet/Duqu et Flame. »



Commentaires

Ajouter un commentaire


Autres articles dans la catégorie « Evènements sociaux Surveillance & sécurité »