Het gaat om een module (Resource 207) die stamt uit de 2009-versie van Stuxnet, de complexe malware die centrifuges voor uraniumverrijking kan saboteren. Het bewuste component heeft dezelfde broncode als die voor een module voor Flame, onthult het Russische securitybedrijf Kaspersky nu.

Broncode gedeeld

Hiermee is de superspyware zeker terug te voeren naar 2009. Mogelijk is Flame zelfs ontwikkeld vóór Stuxnet, of gemaakt als kickstarter voor die saboterende malware, speculeert onderzoeker Roel Schouwenberg van Kaspersky in een online-persconferentie die nu plaatsvindt. De Flame-module is in 2010 verwijderd uit Stuxnet. “Mogelijk omdat de Stuxnet-code toen volwassen genoeg was", denkt Schouwenberg. De versie uit juni 2009 is de oudste bekende Stuxnet-versie.

De twee stuks supermalware zijn zeer waarschijnlijk wel het resultaat van verschillende, parallel lopende projecten, maar die zijn uitgevoerd door samenwerkende partijen, concludeert hij. De ontwikkelaars van de twee soorten overheidsmalware hebben namelijk hun broncode, in ieder geval van deze module, met elkaar gedeeld.

De Kaspersky-onderzoeker legt uit dat dit iets heel anders is dan het delen van de exploitcode; die dient om misbruik te maken van een beveiligingsgat. Het gebruik van zo'n gat leidt in de praktijk tot andere code en een andere binary. De door Stuxnet en Flame gedeelde broncode, voor het 'distributiecomponent' van Resoure 207, is iets "wat je natuurlijk erg goed bewaakt", zegt Schouwenberg.

'Nieuwe' 0-day

De functie van dit onderdeel is de verspreiding van de malware via usb-drives. Resource 207 gebruikt hiervoor een kwetsbaarheid die in 2009 nog onbekend was. Daarnaast heeft de module ook code in zich om misbruik te maken van een voorheen onbekend gat dat de malware in staat stelt hogere rechten te verkrijgen.

Kaspersky heeft aan Microsoft bevestiging gevraagd én gekregen dat dit security bulletin MS09-25 betreft, voor Windows-gaten die in juni 2009 zijn gedicht. Dit is de vijfde 0-day die de diverse Stuxnet-varianten in hun arsenaal hadden. Het is weliswaar nu geen 0-day meer, vertelt Schouwenberg, maar dat was het wél toen het in gebruik was door de malware.

Update:

Aanvullende details toegevoegd.