ИБ-эксперты обнаружили связь между Stuxnet и Flowershop
Исследователи обнаружили новый C&C-компонент Stuxnet, указывающий на причастность к созданию червя разработчиков Flowershop.
В начальные стадии разработки червя Stuxnet могли быть вовлечены создатели вредоносной платформы Flowershop, активной в период с 2002 по 2013 годы. К такому выводу пришли специалисты компании Chronicle после анализа нового связанного со Stuxnet компонента. Считается, что предназначенное для атак на АСУ ТП вредоносное ПО Stuxnet является совместной разработкой спецслужб США и Израиля, направленной против ядерного проекта Ирана. Широкую известность червь получил после атак на ядерные объекты в Иране в 2010 году. Различные исследователи связывают Stuxnet с рядом других угроз, включая черви Duqu, Flame (он же Flamer и SkyWiper) и вредоносную программу Equation, разработанную одноименной группировкой, предположительно имеющей отношение к Агентству национальной безопасности США.
В ходе анализа деятельности STA-группы GOSSIPGIRL исследователи обнаружили новый C&C-компонент Stuxnet, получивший название Stuxshop, который указывал на причастность к созданию червя не только разработчиков Duqu, Flame и Equation, но и четвертой группы, связанной с вредоносным ПО Flowershop, в основном использовавшимся в атаках на организации в странах Ближнего Востока в период с 2002 по 2013 годы. Вредонос Flowershop впервые был обнаружен в 2015 году, позже эксперты связали его с инструментом группировки Equation под названием Territorial Dispute (TeDi).
Stuxshop представляет собой базовый коммуникационный модуль для связи с C&C-серверами Stuxnet, в том числе уже известными. На связь Stuxshop и Flowershop указывают уникальные фрагменты кода, присутствующие в обоих вредоносах. На основании даты компиляции проанализированного образца (май 2006 года) эксперты предположили, что Stuxshop использовался в ранних версиях Stuxnet для функций управления, позже компонент был удален. Находки исследователей подтверждают теорию специалистов Symantec о том, что разработка Stuxnet началась еще в 2005 году.
В ходе анализа исследователи также выявили новые версии Duqu (Duqu 1.5) и Flame (Flame 2.0). По данным экспертов, новая версия Flame была активна с 2014 по 2016 годы. До недавнего времени считалось, что операторы Flame прекратили использовать инструмент после того, как в 2012 году общественности стало известно о его существовании, но, судя по всему, его создатели просто переработали программу, добавив шифрование и функции, усложняющие обнаружение.
Supra Threat Actor (STA) – термин Chronicle, обозначающий атакующих, представляющих различные страны, организации или группы.