Kaspersky: Stuxnet und Flame sind doch verwandt

Przemyslaw Szymanski 16 Kommentare

Die beiden Schadprogramme Stuxnet und Flame ziehen immer weitere Kreise. Nachdem bekannt wurde, dass beide von Geheimdiensten eingesetzt wurden, hat jetzt ein Kaspersky-Mitarbeiter gewisse Ähnlichkeiten bei den beiden Viren entdeckt und behauptet, dass Stuxnet und Flame verwandt sind.

In einem Blog-Eintrag beschreibt Kaspersky-Experte Alexander Gostev die Ähnlichkeiten: Die Komponente mit dem internen Namen „Ressource 207“ stammt aus einer Version von Stuxnet aus dem Jahr 2009 und soll der Flame-Komponente atmpsvcn.ocx so ähnlich sein, dass Gostev vermutet, dass dieser Stuxnet-Baustein auf der Basis von Flame entwickelt worden sei. „Ressource 207“ nutze eine Sicherheitslücke im Windows-Kernel win32k.sys aus, die zur Zeit der Entdeckung von Stuxnet noch nicht bekannt war (Zero-Day-Exploit).

Das besagte Modul "Ressource 207"
Das besagte Modul "Ressource 207"

Das lässt viel Spielraum für Spekulationen, den Gostev auch gekonnt nutzt. So vermutet er, dass zwischen den beiden Entwickler-Teams reger Austausch stattfand und – obwohl die Projekte grundsätzlich getrennt voneinander entwickelt worden seien – die fragliche Komponente von den Flame-Entwicklern speziell für Stuxnet programmiert worden sei.