Secondo i dati emersi da uno studio condotto da Kaspersky Lab, i due malware Stuxnet e Flame potrebbero essere in qualche modo collegati, anche se tra essi vi sono parecchie differenze. A fare da filo conduttore in questo caso sarebbe, secondo i ricercatori, un collegamento tra i due team che hanno dato vita ai due software, i quali avrebbero forse collaborato tra loro nelle prime fasi di stesura del codice.
Le due minacce che tanto hanno fatto discutere di sé nell’ultimo anno potrebbero quindi aver avuto una sorta di parentela, seppure non molto stretta. Kaspersky Lab, tra le altre cose, ha scoperto infatti che un modulo presente nella prima versione di Stuxnet del 2009, il modulo noto come “Resource 207”, era in realtà un plugin di Flame.
Da questa premessa gli esperti ipotizzano che quando, a inizio 2009, il worm Stuxnet è stato creato, le basi di Flame esistevano già, tanto che il codice sorgente di almeno uno dei moduli di Flame era stato usato per Stuxnet al fine di trasmettere l’infezione tramite supporti USB. Non è un caso, quindi, se il codice che regola la proliferazione del virus via USB è utilizzato sia per Flame che per Stuxnet.
La ricostruzione degli eventi fatta da Kaspersky Lab prosegue sottolineando come:
Il modulo di Flame presente in Stuxnet ha sfruttato una vulnerabilità che in quel periodo era ancora sconosciuta, che ha consentito un’escalation di privilegi, presumibilmente MS09-025. Successivamente, il modulo di plugin di Flame è stato rimosso da Stuxnet nel 2010 e sostituito da una serie di moduli diversi che sfruttano nuove vulnerabilità. A partire dal 2010, i due team hanno lavorato in maniera indipendente, anche se forse hanno collaborato attraverso uno scambio di know-how relativo alle nuove vulnerabilità degli “zero-day”.
Insomma ci sarà da approfondire ancora la questione, ma quel che appare chiaro è che tra i due malware ci sia una matrice comune, portando così alla vicenda un nuovo capitolo del romanzo che vede i governi sempre più concentrati sulla cyberguerra, una realtà ormai certa soprattutto dopo le recenti notizie che hanno confermato come Stuxnet sia stato utilizzato dagli USA di Barack Obama per colpire le centrali nucleari iraniane e rallentare i processi di arricchimento dell’uranio.
