Tým, který vytvořil v květnu objevený malware Flame, spolupracoval minimálně v počáteční fázi vývoje s autory červu Stuxnet. Oznámila to společnost Kaspersky Lab na základě výsledků svého výzkumu.
V době objevení malwaru Flame nebyly žádné důkazy o tom, že by Flame pocházel z dílny stejného týmu jako Stuxnet a Duqu. I přístup k vývoji Flame a Duqu se lišil, což vedlo k závěru, že za těmito projekty stojí odlišné týmy. Důkladný výzkum, který provedla Kasperky Lab, ale nyní jasně ukázal, že tyto dva týmy spolu v počáteční fázi vývoje minimálně jednou spolupracovaly.
Podle odborníků Kaspersky Lab je modul z verze Stuxnetu z počátku roku 2009, známý jako "Resource 207" (Zdroj 207), ve skutečnosti pluginem malwaru Flame. Platforma Flame tak existovala už v průběhu roku 2009. Zdroj 207 byl použit na šíření infekce přes USB porty. Kód mechanismu USB infekce je totiž identický u Flamu i Stuxnetu. Plugin Flame byl v roce 2010 ze Stuxnetu odstraněn a nahrazen několika odlišnými moduly, které využívaly nových zranitelností. Od roku 2010 pracovaly týmy nezávisle a jediná možná spolupráce se mohla týkat výměny know-how o zranitelných místech.
Zdroj 207 je šifrovaný soubor DLL, jenž obsahuje exe soubor velikosti 351 768 bytů s názvem "atmpsvcn.ocx". Seznam nápadných podobností zahrnuje jména vzájemně se vylučujících objektů, algoritmů používaných k šifrování strings a podobný přístup k pojmenovávání souborů. Výměna informací mezi autorskými týmy Flame a Duqu/Stuxnet tak probíhala formou zdrojového kódu a nikoli binární formou.
"Navzdory nově zjištěným skutečnostem jsme přesvědčeni, že Flame a Tilded jsou zcela odlišné platformy použité k vývoji různých kybernetických zbraní. Mají odlišné architektury s vlastními triky používanými k infekci systémů a vykonávání primárních úkolů. Projekty byly skutečně odlišné a vzájemně nezávislé. Nicméně nová zjištění ukazují, že týmy si v rané fázi vývoje vyměnily alespoň jeden modul, a tudíž minimálně jednou spolupracovaly. Máme tak v ruce velice silný důkaz o tom, že kybernetické zbraně Stuxnet/Duqu a Flame jsou propojeny," uvedl Alexandr Gostev, Chief Security Expert společnosti Kasperky Lab.
Další informace o šetření jsou k dispozici na Securelist.com. Více o malwaru Flame najdete v dokumentu Flame FAQ.
