بحث كاسبرسكي لاب يثبت: مبتكرو Stuxnet وFlame على اتصال ببعضهم البعض

كان برنامج Stuxnet هو أول سلاح الكتروني يستهدف المؤسسات. وقد أدت إصابته للحواسب العادية في مختلف أنحاء العالم إلى اكتشافه في يونيو 2010، غير أن النسخة السابقة المعروفة من هذا البرنامج الخبيث، كانت قد ابتكرت قبل سنة من ذلك. النموذج الجديد من السلاح الالكتروني والذي يعرف باسم Duqu، اكتشف في سبتمبر 2011. على عكس Stuxnet، كانت المهمة الرئيسية لـDuqu هي سرقة البيانات الشخصية من النظام المصاب التجسس الالكتروني.

بعد تحليل Duqu، ظهرت هناك أوجه تشابه كبير مع Stuxnet، التي بينت أن السلاحين الالكترونيين صنعا باستخدام منصة هجوم ذاتها تعرف باسم منصة Tilded Platform. وقد كون الاسم من الرموز التي يفضل مطورو البرمجيات الخبيثة استخدامها في ملفاتهم ومنها Tilde-d. واكتشف Flame في مايو 2012 بعد إجراء تحقيق بادر به الاتحاد الدولي للاتصالات ونفذته كاسبرسكي لاب، وقد بدا Flame وقتئذ بأنه مختلف تماما. بعض الخصائص كحجم البرنامج الخبيث، استخدام لغة البرمجة LUA ووظائفه المنوعة، دلت جميعها على أن Flame غير مرتبط بمطوري Duqu وStuxnet. غير أن ظهور الحقائق الجديدة أعادت كتابة تاريخ Stuxnet وتثبت بلا شك أن منصة Tilded لها علاقة بمنصة Flame.

النسخة الأولى المعروفة من Stuxnet، التي أنشأت كما يتوقع في يونيو 2009، تتضمن بنية خاصة تعرف بـResource 207. في نسخة 2010 التالية من Stuxnet أزيلت هذه البنية بالكامل. وبنية Resource 207 هي عبارة عن ملف DLL مشفر ويتضمن ملفا تنفيذيا بحجم 351.768 بايت ويحمل اسم atmpsvcn.ocx. هذا الملف بالتحديد، كما تبين من خلال تحقيق كاسبرسكي لاب، له الكثير من أوجه التشابه مع الشيفرة المستخدمة في Flame. وتتضمن قائمة أوجه التشابه أسماء الكينونات الحصرية، الخوارزمية المستخدمة في التشفير والأساليب المماثلة في تسمية الملفات.

كما أن معظم أجزاء الشيفرة تبدو متطابقة أو متشابهة في بنى Stuxnet وFlame ما يدفعنا للاعتقاد بأن التبادل بين فريقي Flame وDuqu/Stuxnet قد أجري على شكل شيفرة المصدر. وكانت الوظيفة الأولى لبنية Stuxnet Resource 207 في نشر العدوى من آلة إلى أخرى باستخدم وسائط التخزين النقالة واستغلال الثغرات في نواة Windows للوصول إلى تصعيد الامتيازات داخل النظام. هذه الشيفرة المسؤولة عن توزيع البرمجيات الخبيثة باستخدام وسائط التخزين النقالة تطابق بالكامل المستخدمة في Flame.

وقال الكسندر غوستيف، كبير المحللي الأمنيين بكاسبرسكي لاب، في تعليق على ذلك: "على الرغم من الحقائق المكتشفة مؤخرا، نحن على ثقة في أن Flame وTilded منصتان مختلفتان بشكل كامل ويتم استخدامهما في تطوير أسلحة الكترونية متعددة. لكليهما هندسة تختلف عن الأخرى ولهما أساليب فريدة في إصابة الأنظمة وتنفيذ المهام الأساسية. هذا المشروعان كانا منفصلان ومستقلان عن بعضهما. إلى أن الاكتشافات الجديدة تظهر الآن كيف أن الفريقين تشاركا شيفرة المصدر لبنية واحدة على الأقل في المراحل الأولى من تطوير البرنامجين تثبت أن المجموعتين تعاونتا مرة على الأقل. ما اكتشفناه هو دليل قوي جدا على أن برامج Stuxnet/Duqu وFlame متصلة ببعضها".