Procede, presso i laboratori di Kaspersky, l’analisi del codice di Flame alla ricerca di nuovi indizi capaci di svelare il mistero delle origini del malware spione più complesso mai identificato. Un’analisi che è anche retroattiva, quella dei ricercatori moscoviti, e che proprio in vecchi sample catalogati negli anni passati ha scovato il possibile “anello mancante” in grado di legare Flame e Stuxnet .
Il succitato “missing link” è “resource 207”, una DLL cifrata molto simile a un modulo usato in varianti meno recenti di Flame che il sistema di analisi automatizzato di Kaspersky aveva classificato come variante di Stuxnet. La DLL era stata in seguito abbandonata anche nel caso di Stuxnet, ma la sua esistenza starebbe a dimostrare un collegamento diretto fra i due malware.
Un altro importante indizio capace di confermare questo collegamento sarebbe l’impiego di un exploit zero-day con un attacco per l’elevazione dei privilegi, una falla chiusa da Microsoft nel 2009 e abbandonata anche dalle varianti più recenti di Stuxnet.
La conclusione dell’analisi di Kaspersky è che Flame rappresenti un vero e proprio “framework” di sviluppo di malware modulare, una piattaforma che con Stuxnet ha in comune l’origine ma che si è poi evoluta in maniera divergente – magari sviluppata da “altre mani” con accesso al codice sorgente originario.
Non essendo la logica un’opinione, inoltre, se Stuxnet è un malware la cui paternità è stata praticamente confessata dall’intelligence statunitense, per Flame si configura la stessa origine in seno ai servizi segreti USA e/o alleati.
A riprova della “mano” di cervelli sopraffini (soprattutto in campo crittografico) al lavoro, le analisi di Flame hanno infine identificato l’utilizzo di uno speciale attacco crittografico detto Collision attack che non era sin qui mai stato osservato in pubblico – sia nei software tradizionali che nei malware.
Alfonso Maruccia