Wraz z wykryciem Flame'a w maju 2012 r. świat dowiedział się o najbardziej złożonej cyberbroni, jaka kiedykolwiek istniała. W momencie zidentyfikowania tego szkodliwego oprogramowania nie było mocnych dowodów świadczących o tym, że był on wynikiem pracy tego samego zespołu, który odpowiada za Stuxneta i Duqu. Również podejście do tworzenia Flame'a i Duqu/Stuxneta było różne, co pozwalało sądzić, że za tymi projektami stały dwa niezależne zespoły. Jednak najnowsze badanie przeprowadzone przez ekspertów z Kaspersky Lab pokazuje, że oba zespoły współpracowały ze sobą przynajmniej na wczesnych etapach rozwoju tych szkodliwych programów.
- Niezależnie od nowych faktów jesteśmy przekonani, że Flame i Tilded to całkowicie różne platformy, wykorzystywane do rozwoju wielu cyberbroni. Każda z nich ma inną architekturę i wykorzystuje unikatowe sztuczki do infekowania systemów i realizowania podstawowych zadań. Były to bez wątpienia oddzielne i niezależne od siebie projekty - komentuje Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab
- Jednak nowe ustalenia, zgodnie z którymi oba zespoły współdzieliły kod źródłowy co najmniej jednego modułu na wczesnych etapach rozwoju szkodników, potwierdzają, że obie grupy współpracowały ze sobą przynajmniej jeden raz. Odkryliśmy bardzo mocny dowód istnienia związków między cyberbronią Stuxnet/Duqu a Flame - zaznacza Gostiew.
Eksperci z Kaspersky Lab odkryli, że moduł wchodzący w skład wczesnej wersji Stuxneta z 2009 r., znany jako „Resource 207", w rzeczywistości był wtyczką do Flame'a. To oznacza, że gdy robak Stuxnet został stworzony na początku 2009 r., platforma Flame już istniała, a w 2009 r. źródło kodu co najmniej jednego modułu Flame'a zostało wykorzystane w Stuxnecie. Moduł ten służył do rozprzestrzeniania infekcji za pośrednictwem urządzeń USB. Kod mechanizmu infekcji przy pomocy urządzenia USB jest identyczny z kodem Flame'a i Stuxneta. Moduł Flame'a w Stuxnecie wykorzystywał również lukę w zabezpieczeniach, która nie była znana w tym czasie i umożliwiała zwiększenie przywilejów w atakowanym systemie.
Większość sekcji kodu w odpowiednich modułach Stuxneta i Flame'a wydaje się być identyczna lub podobna, na podstawie czego można wnioskować, że współpraca między zespołami odpowiedzialnymi za Flame'a i Duqu/Stuxneta miała formę wymiany kodu źródłowego.
