El gusano informático Stuxnet, que fue usado para sabotear el programa nuclear iraní, fue posiblemente precedido por otro sofisticado malware que utiliza algunos de los mismos exploits y que fue propragado en computadoras aisladas de Internet por medio de memorias USB.

El gusano de USB es llamado Fanny y forma parte de un conjunto sofisticado de herramientas de malware usado por un grupo de ciberespionaje que la firma rusa de antivirus ha bautizado como grupo Equation.

Kaspersky publicó recientemente un informe detallado sobre grupo Equation, que es considerado el grupo de atacantes más avanzado hasta la fecha y cuyas actividades se extienden desde 2001 (posiblemente desde 1996). A pesar de que la compañía declaró tajantemente que no había relación directa con la Agencia Nacional de Seguridad de Estados Unidos, hay detalles significativos que apuntan a tales vínculos.

Uno de esos aparentes vínculos yace en las similitudes entre el gusano Fanny, el cual ha sido usado por el grupo Equation desde al menos 2008 y el gusano Stuxnet, el cual, según varios artículos de prensa y libros que citan fuentes anónimas del gobierno de Estados Unidos, ha sido desarrollado por la NSA y los servicios de inteligencia de Israel.

Fanny es un gusano que se propaga través de unidades USB con el fin de reunir inteligencia. Su objetivo parece ser mapear redes de computadores aisladas a redes inseguras como Internet.

Hay varias cosas que hacen a Fanny notable. En primer lugar, utiliza el mismo exploit LNK que Stuxnet para propagarse, pero lo usó antes de Stuxnet. La vulnerabilidad LNK fue parchada por Microsoft en 2010, después de que Stuxnet fuese descubierto, pero Fanny lo ha usado desde 2008. La primera variante conocida de Stuxnet data de 2009.

Fanny también ha explotado una segunda vulnerabilidad de Windows, una de día cero que no se encontraba corregida en aquel momento y que fue usada por algunas versiones de Stuxnet.

Hay otras similitudes entre las dos muestras, dijeron los investigadores de Kaspersky en una entrada de blog que contiene un análisis técnico profundo de Fanny. Por ejemplo, parece ser que tanto los desarrolladores de Stuxnet como de Fanny siguen ciertas pautas de programación que implica el uso de números únicos, dijeron los investigadores.

El hecho de que dos diferentes gusanos de computadora usaran el mismo exploit de día cero de la misma manera y en torno a las mismas fechas indica que sus desarrolladores son la misma persona o trabajaron estrechamente en colaboración, mencionaron los investigadores de Kaspersky.

La complejidad de Fanny no se detiene con su uso de exploits de día cero. Por ejemplo, el malware crea un área de almacenamiento oculta en la USB que es formateada con el sistema de archivos FAT16 o FAT32. Esto lo hace usando combinaciones no documentadas de banderas del sistema de archivos para crear un contenedor de 1 MB que es ignorado por los controladores estándar de FAT usados por Windows y otros sistemas operativos.