Eugene Kaspersky, CEO des russischen Unternehmens Kaspersky Lab, erklärte am gestrigen Montag auf dem Reuters Global Media and Technology Summit in London, die Forscher seiner Firma hätten festgestellt, dass ein Teil des Flame-Quellcodes "fast identisch" mit dem einer 2009 entdeckten Version von Stuxnet sei. Konkret handelt es sich um eine Code-Sequenz, die eine Sicherheitslücke in der Autorun-Funktion von Microsoft Windows in einer bestimmten Art und Weise ausnutzt.
Einige Stunden später bestätigten Forscher des Unternehmens Symantec die von Kaspersky berichteten Forschungsergebnisse.
Die neuen Erkenntnisse heizen natürlich Spekulationen über die Urheber von Flame weiter an. Vor Kurzem hatte der US-Journalist David Sanger berichtet, dass es sich bei Stuxnet tatsächlich - wie zuvor vielfach spekuliert - um eine "Cyber-Waffe" der USA und Israels handle (gulli:News berichtete). Das Weiße Haus dementierte diese Behauptung bislang nicht, sondern startete einem Bericht der Nachrichtenagentur Reuters zufolge sogar eine Untersuchung, wie es zum Leak dieser brisanten Information kommen konnte.
Flame, so Kaspersky, sei nicht von den selben Programmierern wie Stuxnet entwickelt worden. Es habe vielmehr "zwei verschiedene Teams, die zusammen arbeiteten" gegeben. Dafür spreche der unterschiedliche Stil des Quellcodes.
Viele Experten hatten schon zuvor Verbindungen zwischen Flame, Stuxnet und dem ebenfalls zu Spionage-Zwecken eingesetzten Trojaner Duqu gegeben. Kaspersky Lab und Symantec sind nun jedoch die ersten Unternehmen, die angeben, im Quellcode schlüssige Beweise für diese Theorie gefunden zu haben.
Interessanterweise taucht die fragliche Code-Sequenz in späteren Versionen von Stuxnet nicht mehr auf. Roel Schouwenberg, einer der an der Entdeckung Flames beteiligten Kaspersky-Forscher, vermutet, dass der Quellcode von den Stuxnet-Entwicklern praktisch "ausgeliehen" wurde, um die eigenen Angriffe schneller starten zu können. Später sei der "geliehene" Code dann womöglich entfernt worden, um zu verhindern, dass im Falle einer Entdeckung Stuxnets auch das Flame-Programm kompromittiert werde.
Die Analyse Flames ist derweil noch lange nicht abgeschlossen. Die beteiligten Forscher vermuten, dass es noch Monate dauern wird, den Quellcode vollständig zu analysieren.
Kommentare