Kaspersky: Stuxnet und Flame sind doch verwandt

Die beiden Schadprogramme Stuxnet und Flame ziehen immer weitere Kreise. Nachdem bekannt wurde, dass beide von Geheimdiensten eingesetzt wurden, hat jetzt ein Kaspersky-Mitarbeiter gewisse Ähnlichkeiten bei den beiden Viren entdeckt und behauptet, dass Stuxnet und Flame verwandt sind.

In einem Blog-Eintrag beschreibt Kaspersky-Experte Alexander Gostev die Ähnlichkeiten: Die Komponente mit dem internen Namen „Ressource 207“ stammt aus einer Version von Stuxnet aus dem Jahr 2009 und soll der Flame-Komponente atmpsvcn.ocx so ähnlich sein, dass Gostev vermutet, dass dieser Stuxnet-Baustein auf der Basis von Flame entwickelt worden sei. „Ressource 207“ nutze eine Sicherheitslücke im Windows-Kernel win32k.sys aus, die zur Zeit der Entdeckung von Stuxnet noch nicht bekannt war (Zero-Day-Exploit).

Das lässt viel Spielraum für Spekulationen, den Gostev auch gekonnt nutzt. So vermutet er, dass zwischen den beiden Entwickler-Teams reger Austausch stattfand und – obwohl die Projekte grundsätzlich getrennt voneinander entwickelt worden seien – die fragliche Komponente von den Flame-Entwicklern speziell für Stuxnet programmiert worden sei.