Módulo do Stuxnet era um "pedaço" do malware Flame

A Kaspersky, que descobriu o malware Flame, considerado a ciberarma mais avançada até então, acredita que as equipes que criaram o Stuxnet e o Duqu cooperaram pelo menos uma vez durante as primeiras etapas do desenvolvimento da nova ameaça. Conforme a empresa, o Flame já existia ainda antes de 2009 e o código-fonte de pelo menos um dos seus módulos foi usado no Stuxnet.

O módulo conhecido como “Recurso 207” da primeira versão do Stuxnet era, na verdade, um plugin do Flame, utilizado para propagar o ataque por meio de dispositivos USB.  Esse módulo também explora uma vulnerabilidade zero-day (desconhecida) que permitiu adquirir certos privilégios nos sistemas infectados.

O Stuxnet foi a primeira ciberarma dirigida ao setor industrial. O exemplo seguinte de ciberarma foi o Duqu, descoberto em setembro de 2011. Ao contrário do Stuxnet, a principal tarefa desse trojan era atuar como backdoor do sistema infectado e roubar informações privadas.

Durante a análise do Duqu, foram detectadas muitas semelhanças com o Stuxnet, que revelaram que os dois utilizavam a mesma plataforma de ataque, conhecida como "Plataforma Tilded". O malware Flame era, à primeira vista, completamente diferente. Algumas funções, como o tamanho do programa malicioso, o uso de linguagem de programação Lua e sua funcionalidade indicavam, num primeiro momento, que o Flame não estava ligado aos criadores do Duqu ou do Stuxnet.

"Apesar dos fatos descobertos, estamos seguros de que o Flame e o Tilded são plataformas completamente diferentes, utilizadas para desenvolver múltiplas ciberarmas”, explica Alexander Gostev, diretor de analistas de segurança da Kaspersky Lab. “Cada um tem diferentes arquiteturas, no entanto, a nova análise revela como as equipes compartilharam o código fonte de pelo menos um módulo nas primeiras etapas do desenvolvimento. O que encontramos é uma evidência muito clara de que o Stuxnet / Duqu e o Flame são armas cibernéticas relacionadas", afirma.

Em 2010, o plugin do Flame foi retirado do Stuxnet e substituído por vários módulos diferentes que exploravam novas vulnerabilidades. A partir desse momento, as duas equipes passaram a trabalhar de forma independente e, segundo a Kaspersky, a cooperação passou a se restringir à troca de know-how sobre as vulnerabilidades "zero-day".

O Stuxnet foi criado em 2009 e começou a aparecer na mídia após infectar a usina nuclear de Bushehr, no Irã. Na semana passada, o The New York Times publicou uma reportagem atribuindo a criação do código malicioso aos governos dos Estados Unidos e de Israel, em uma tentativa de frear “silenciosamente” o programa nuclear iraniano. O Flame, apesar de já existir ainda antes, só foi descoberto no mês passado, depois de uma investigação da Kaspersky para a International Telecommunication Union (ITU).