Un lien existe entre Stuxnet et Flame

Et ce lien s’appelle la ressource 207 d’après Kaspersky.

En fouillant dans leurs vieux samples à la recherche de malwares proches de Flame, Kaspersky a retrouvé un binaire que leur robot de classification détectait comme une variante de Stuxnet.
Mais quand les chercheurs ont jeté un coup d’œil au code la première fois ils n’ont pas remarqué de liens particuliers et ont cru que le système s’était trompé.
Il ont donc re-baptisé le sample Tocy.a.

En retombant dessus, ils ont finalement compris pourquoi le système détectait ce malware comme un dérivé de Stuxnet : il correspond à une ressource de Stuxnet, la ressource 207 qui a été extraite.
Cette ressource est simplement une DLL encodée dont le rôle est de se propager en exploitant certaines failles du système d’exploitation.

Or cette ressource est aussi utilisée comme un module du ver Flame ! D’après Kaspersky les similitudes ne font pas d’erreur et ils pensent même que le même morceau de code source a été utilisé pour les deux malwares.
On est donc en mesure de supposer que les même auteurs soient derrière ces deux ‘affaires’.

4 réflexions au sujet de « Un lien existe entre Stuxnet et Flame »

Les commentaires sont fermés.