Kaspersky trouve du Flame à l’intérieur de Stuxnet

Kaspersky avance une nouvelle piste intéressante à propos de la genèse de Flame.

L’éditeur russe de solutions de sécurité IT considère qu’il existe un lien entre ce malware découvert fin mai à vocation de cyber-espionnage et la conception du « ver industriel » Stuxnet révélé en juin 2010 et la déclinaison Duqu (derrière lesquels on retrouvait déjà la même plate-forme d’attaque : Tilded).

Compte des méthodes de programmation différentes entre Flame et Duqu/Stuxnet, il était difficile d’établir un lien.

Dans une réactualisation de ses recherches, Kaspersky considère qu’il en a trouvé un :  « Les équipes ont coopéré au moins une fois aux premiers stades du développement. »

L’éditeur a exposé sa version des faits sur son blog Securelist.

Dans les grandes lignes, il considère  « qu’un module de la version de Stuxnet remontant à début 2009 (connue sous le nom ‘Resource 207’), se trouve être aussi un plug-in de Flame. »

Le nouveau malware qui fait fureur prend un coup de vieux :« Cela signifie que, lors de la création du ver Stuxnet début 2009, la plate-forme Flame existait déjà et que, dès 2009, le code source d’au moins un module de Flame a été utilisé dans Stuxnet« .

Des convergences dans la source donc. Mais les développements ont peut-être été réalisés par des équipes différentes.

La prudence s’impose pour Alexander Gostev, expert en sécurité de Kaspersky :

« En dépit des récentes découvertes, nous restons convaincus que Flame et Tilded sont des plates-formes entièrement différentes, servant à développer des cyber-armes multiples. »

Mais « les nouvelles observations […] prouvent que les deux groupes ont coopéré au minimum une fois. Voilà qui démontre un lien très probable entre les cyberarmes Stuxnet/Duqu et Flame. »

Logo : © maninblack – Fotolia.com