Pesquisadores da fabricante de antivírus Kaspersky Lab confirmaram, nesta segunda-feira (11), que os autores dos vírus Flame e Stuxnet cooperaram em algum momento. Uma versão do Stuxnet de 2009 utiliza um código idêntico a um plugin do vírus Flame, criando a ligação entre os dois vírus. Apesar de o Stuxnet e o Flame terem infectado principalmente o Irã, pesquisadores haviam negado, até agora, qualquer relação entre os dois.

O Stuxnet foi o vírus responsável por sabotar o programa de enriquecimento de urânio do Irã em Natanz. De acordo com o jornal The New York Times, das cinco mil centrífugas da usina, mil delas foram destruídas pela praga. O Flame, por sua vez, não possui nenhum componente para danificar sistemas, mas apenas para capturar dados. As maiores vítimas estão no Irã, muitas delas relacionadas à extração de petróleo, segundo o governo do país.

O Centro Nacional de Resposta a Incidentes de Segurança do Irã (Iran CERT/Maher), quando anunciou a descoberta do Flame, já havia associado os dois códigos. Os especialistas iranianos não forneceram nenhuma prova, no entanto.

O código do Flame aparece no Stuxnet como um recurso chamado "207". "Recursos" são informações extras dentro de um programa de Windows e podem conter, por exemplo, um ícone de software, imagens ou outras informações que o arquivo vai usar.

No caso do Stuxnet, o recurso "207" era um componente responsável por disseminar a praga em dispositivos USB e explorar uma falha no Windows (hoje já corrigida) que permitia burlar as restrições de acesso de um usuário limitado. Esse mesmo código foi usado também no Flame.

Ligação foi feita por sistema automatizado
Alexander Gostev, especialista da Kaspersky Lab, contou em um post no blog da empresa (veja aqui o post) que o elo entre o Flame e o Stuxnet foi inicialmente detectado pelo sistema de classificação automatizado da empresa. Um arquivo recebido pela companhia em outubro de 2010 foi marcado pelo sistema como uma nova versão do Stuxnet.

Observando o arquivo, que não era do Stuxnet, os pesquisadores da empresa pensaram se tratar de um erro do sistema automatizado. A praga foi batizada de "Tocy".

"Tocy" era, na verdade, um componente do Flame. Após a descoberta dos ataques do Flame, a Kaspersky encontrou o "Tocy" em sua base de dados. Observando o histórico da praga e a classificação como Stuxnet, a ligação no recurso "207" foi identificada.

Plataformas diferentes
Apesar do compartilhamento de código entre as duas pragas digitais, "Flame" e "Stuxnet" são muito diferentes. O Stuxnet usa uma plataforma que especialistas batizaram de "Tilded", que também foi usada no código de espionagem Duqu.

O Flame é uma plataforma muito diferente, de acordo com os pesquisadores, possuindo diversos módulos e plug-ins, além do uso da linguagem de programação "Lua".

Ainda não é possível afirmar que os dois códigos foram desenvolvidos pela mesma equipe. O compartilhamento de código, no entanto, indica que havia uma relação de cooperação.