Kaspersky trouve du Flame à l’intérieur de Stuxnet
L’analyse du code source des malware industriels Stuxnet et Flame montrent des similitudes troublantes selon Kaspersky. Même origine mais des équipes de conception différentes ?
Kaspersky avance une nouvelle piste intéressante à propos de la genèse de Flame.
L’éditeur russe de solutions de sécurité IT considère qu’il existe un lien entre ce malware découvert fin mai à vocation de cyber-espionnage et la conception du « ver industriel » Stuxnet révélé en juin 2010 et la déclinaison Duqu (derrière lesquels on retrouvait déjà la même plate-forme d’attaque : Tilded).
Compte des méthodes de programmation différentes entre Flame et Duqu/Stuxnet, il était difficile d’établir un lien.
Dans une réactualisation de ses recherches, Kaspersky considère qu’il en a trouvé un : « Les équipes ont coopéré au moins une fois aux premiers stades du développement. »
L’éditeur a exposé sa version des faits sur son blog Securelist.
Dans les grandes lignes, il considère « qu’un module de la version de Stuxnet remontant à début 2009 (connue sous le nom ‘Resource 207’), se trouve être aussi un plug-in de Flame. »
Le nouveau malware qui fait fureur prend un coup de vieux :« Cela signifie que, lors de la création du ver Stuxnet début 2009, la plate-forme Flame existait déjà et que, dès 2009, le code source d’au moins un module de Flame a été utilisé dans Stuxnet« .
Des convergences dans la source donc. Mais les développements ont peut-être été réalisés par des équipes différentes.
La prudence s’impose pour Alexander Gostev, expert en sécurité de Kaspersky :
« En dépit des récentes découvertes, nous restons convaincus que Flame et Tilded sont des plates-formes entièrement différentes, servant à développer des cyber-armes multiples. »
Mais « les nouvelles observations […] prouvent que les deux groupes ont coopéré au minimum une fois. Voilà qui démontre un lien très probable entre les cyberarmes Stuxnet/Duqu et Flame. »
Logo : © maninblack – Fotolia.com