ウイルス対策ベンダーの Kaspersky Lab のセキュリティ研究者は、Flame と Stuxnet のサイバースパイ脅威の開発チームが互いに協力していた証拠を発見した。
カスペルスキーの研究者らは、2008年に作成されたとみられるFlameと2009年版のStuxnetが、同じ目的を果たすコンポーネントを1つ共有しており、ソースコードも類似していると判断した。
2010年10月、カスペルスキーの研究者たちは、同社の自動システムによってStuxnetの亜種として自動的に分類されたサンプルを分析しました。当時、研究者たちはサンプルのコードがStuxnetのコードと全く似ていなかったため、この検出は誤りだと判断しました。
しかし、5月末にFlameが発見された後、カスペルスキーの研究者は自社のデータベースで新たな脅威に関連する可能性のあるマルウェアサンプルを検索し、2010年にStuxnetとして検出されたサンプルが実際にはFlameモジュールであることを発見しました。このモジュールはautorun.infというトリックを用いてUSBドライブ経由でコンピュータに感染します。
カスペルスキーのアナリストはさらなる調査の結果、2009年初頭に作成されたStuxnet.Aが、USBドライブ経由で拡散するために同じautorun.infのトリックを使用していることを突き止めました。実際、このコードに関係するソースコードは、Flameモジュールのものとほぼ同一です。
「FlameプラットフォームはStuxnetプラットフォームの起動に使用されたようだ」と、カスペルスキー研究所のグローバル調査分析チームの上級研究員、ロエル・ショウウェンバーグ氏は報道陣との電話会議で述べた。
同じ欠陥を狙う
カスペルスキーの研究者たちは、StuxnetとFlameが同じEoP脆弱性を悪用していることを既に把握していましたが、これは両開発者が共謀していたという決定的な証拠ではありませんでした。ショウウェンバーグ氏によると、このエクスプロイトは第三者によって作成され、両チームに販売された可能性があります。
しかし、今回の新たな発見は、2つのマルウェア脅威の開発者が実際にソースコードを共有していたことを示唆しています。ソースコードは知的財産であり、通常は無関係なチーム間で共有されることはありません。「FlameとStuxnetのグループが協力していたことは、これで100%確信できました」とショウウェンバーグ氏は述べています。
カスペルスキーの研究者たちは、Stuxnet.Aに統合されたFlameモジュールが、マルウェア作成当時は未知だったWindowsの権限昇格(EoP)脆弱性を悪用していることを発見しました。ショウウェンバーグ氏によると、これはStuxnetによって悪用された5番目のゼロデイ脆弱性(以前は未知だった脆弱性)となります。
研究者らは、この脆弱性はマイクロソフトがStuxnet.Aの作成から数か月後の2009年6月に修正したものだと考えているが、まだ確信はなく、現在も調査中である。
その後の Stuxnet のバージョンでは、Flame モジュールの使用を完全に停止し、不正な LNK (ショートカット) ファイルを利用して USB ドライブ経由で拡散する別の脆弱性を悪用し始めました。
興味深いことに、Stuxnet.AのFlameから借用されたモジュールのエクスプロイトコードは、Stuxnetの後継バージョンに存在する別のEoP脆弱性を悪用するエクスプロイトコードと非常に類似しています。研究者たちは、両方のコードセクションが同じプログラマーによって作成されたと考えています。
同じ情報源、異なる目的
2009年、Stuxnet.A の作成から数か月後に Microsoft が EoP の脆弱性を修正したとき、Stuxnet の開発者は拡散に Flame モジュールを使用するのをやめ、不正な LNK (ショートカット) ファイルに依存する新しい脆弱性を悪用し始めました。
カスペルスキーの研究者らが提唱する説は、FlameとStuxnetは、同じ国家が資金提供した2つの作戦の一環として、別々のチームによって作成されたというものだ。ショウウェンバーグ氏は、Flameはおそらくスパイ活動に、Stuxnetは破壊活動に使用されたと述べている。
オバマ政権の匿名の情報源を引用した最近のニューヨークタイムズの報道によると、スタックスネットは、イランの兵器級核燃料生産能力を麻痺させることを目的とした「オリンピック・ゲーム」と呼ばれる秘密作戦の一環として、米国とイスラエルの政府によって作成されたという。
