Det amerikansk-israeliska hackingspartnerskapet som skapade några av världens mest kraftfulla cybervapen är äldre och mer produktiv än tidigare känt, sa två forskare igår (8 april) vid Kaspersky Security Analysts Summit i Singapore.

Vi önskar att hackare såg ut så här. Upphovsman: Warner Bros. Tv
(Bildkredit: Vi önskar att hackare såg ut så här. Upphovsman: Warner Bros. Tv)

Forskarna, Juan-Andres Guerrero-Saade och Silas Cutler från Googles systerföretag Chronicle Security, sa att skadlig kod som heter Flowershop, fungerade 2002 och spionprogram som heter Flame 2.0, som upptäcktes 2016, var båda relaterade till Stuxnet, som förlamade Irans kärnvapenprogram 2010, och Flamma, som spionerade på datorer i Mellanöstern fram till dess upptäckten 2012.

Forskarna har gett det långvariga samarbetet mellan de två nationalstatens hackingoperationer, som fortfarande kan vara i drift, ett nytt namn: Gossip Girl.

"[Statssponserade] hotaktörer försvinner inte efter exponering; våra angripare försvinner aldrig riktigt, " Guerrero-Saade och Cutler skrev i ett blogginlägg i går. "De har en intelligensuppgift att fullgöra och kommer att gå mycket långt i att göra det."

MER: Bästa antivirusprogram och appar

Alla de undersökta skadliga programmen verkar ha utvecklats av olika grupper av amerikanska och israeliska statssponserade hackare, som inte alltid arbetar tillsammans men ofta delar delar och kod.

Chronicle-forskarna valde namnet Gossip Girl för samarbetet - som de kallar en "Supra Threat Actor" eftersom det involverar flera kända hackgrupper - efter en referens i ett kanadensiskt underrättelsedokument läckt av Edward Snowden.

Stuxnet anses allmänt ha utvecklats gemensamt av hackare som arbetar för USA. Nationella säkerhetsbyrån och den israeliska militärens enhet 8200 och flamma av NSA och eventuellt också israelerna.

En relaterad del av skadlig kod Duqu, upptäcktes 2011. Den delade koden med Stuxnet och anses vara enhet 8200. Ett fjärde spionverktyg, Gauss, som hittades 2012, delar koden med Flame och anses ha varit ett NSA-projekt.

Gör mig en match

Sedan 2012 har säkerhetsforskare fått kraftfulla nya verktyg som låter dem analysera skadlig kod i bulk för att leta efter likheter. Guerrero-Saade och Cutler använde ett av dessa verktyg, YARA, för att skanna åratal av prover som erhölls av det Google-ägda malware-arkivet VirusTotal. De hittade två nya matchningar för släktträdet Stuxnet / Flame / Duqu / Gauss.

En match var Flowershop, upptäckt (men avslöjades inte offentligt) av Kaspersky Lab 2013. Man tror att det har spionerat på mål i Mellanöstern sedan 2002. Gurrero-Saade och Culter fann att Flowershop delade fyra olika kommunikationsmoduler med Stuxnet, men utan andra skadliga programvaror.

Familjen Gossip Girl med skadlig programvara. Upphovsman: Chronicle Security
(Bildkredit: Gossip Girl-skadefamiljen. Kredit: Chronicle Security)

Den andra matchen var vad Guerrero-Saade och Cutler kallade Flame 2.0. Den ursprungliga Flame-spionprogrammet, fortfarande en av de mest sofistikerade bitar av skadlig kod som existerade, dödades till synes av dess operatörer med hjälp av ett "självmordskommandot" när skadlig programvara avslöjades i 2012.

Men som Guerrero-Saade och Cutler skrev, "Flame fejkade sin egen död."

De fann att en ny version av Flame laddades upp till VirusTotal i slutet av 2016 och ursprungligen skapades 2014. Dess filer var starkt krypterade, så det är inte helt klart exakt vad Flame 2.0 gör eller vad dess mål kan vara.

Mer än vi klarar

Guerrero-Saade och Cutler gav inga åsikter om huruvida Flame 2.0 fortfarande kan vara i drift. Men det är en möjlighet, med tanke på att den först avslöjades igår.

"Vi fiskade faktiskt ut fler upptäckter än vad vi kunde hantera", skrev paret i sin blogginlägg och uppmanade andra forskare att fortsätta där de slutade genom att läsa. tretekniskpapper de publicerade online. "Vi hoppas att andra forskare, malwareanalytiker och försvarare kommer att dra nytta av uppdelningar och tekniska indikatorer."

  • Cyberattacker kommer snart att döda människor, varnar säkerhetsexpert
  • 10 skäl att frukta en "Cyber ​​Pearl Harbor"
  • Skydda din dator med det här enkla tricket (verkligen)

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så delar vi aldrig dina uppgifter utan ditt tillstånd.