De code waarmee de Flame-trojan zichzelf verspreidde met behulp van usb-sticks, is vrijwel identiek aan die van Stuxnet. Dat heeft Kaspersky ontdekt. Anders dan aanvankelijk werd gedacht is er dus wellicht een relatie tussen de twee virussen.
Beveiligingsbedrijf Kaspersky vermoedt dat de teams die beide trojans hebben ontwikkeld, in ieder geval één keer in het 'beginstadium van de ontwikkeling' hebben samengewerkt. Kaspersky heeft zijn bevindingen maandagmiddag bekendgemaakt tijdens een onlinepresentatie voor journalisten.
Een Stuxnet-module, die volgens Kaspersky bekendstaat als Resource 207, zou aanvankelijk voor Flame zijn geschreven. Het betrof code die werd gebruikt om malware zichzelf via usb-sticks te laten verspreiden en die in beide trojans is gebruikt. Het ging om de broncode die werd uitgewisseld. Flame is grotendeels in een andere taal geschreven dan Stuxnet.
Kaspersky-onderzoeker Roel Schouwenberg vertelde tijdens de presentatie dat Kaspersky tot de ontdekking kwam nadat een deel van de broncode van Flame bij een geautomatiseerde analyse werd aangemerkt als Stuxnet-code. Na analyse bleken de twee modules erg veel op elkaar te lijken. Bovendien blijkt dat voor het verspreiden via usb-sticks dezelfde, destijds nog niet bekende Windows-exploit werd gebruikt.
Stuxnet gebruikte de gedeelde code tot 2010; daarna is deze verwijderd en vervangen door een nieuwe module, die gebruikmaakte van nieuwe kwetsbaarheden in software. Sindsdien hebben beide teams los van elkaar gewerkt, denkt Kaspersky. Bovendien denkt Kaspersky dat Flame al langer in ontwikkeling is dan Stuxnet en varianten op dat virus, zoals DuQu.
De Flame-trojan kwam eind vorige maand aan het licht. Kaspersky ontdekte de trojan, die het gemunt zou hebben op computers in het Midden-Oosten. "Waarschijnlijk was Flame een spionage-tool", aldus Schouwenberg.
De software zou geavanceerder zijn dan de Stuxnet- en DuQu-trojans. Van die laatste twee wordt vermoed dat ze door de Amerikaanse overheid in samenwerking met Israël zijn ontwikkeld. Of dat bij Flame ook zo is, is nog onduidelijk. Stuxnet werd gebruikt om centrifuges in een Iraanse nucleaire installatie te ontregelen.
/i/1339423749.gif?f=imagenormal)