A Kaspersky Labs rávilágított a fontos összefüggésre
A G-Data és a BAE Systems szakértői a közelmúltban kiadtak egy közleményt, amelyben egy tartós számítógépes kémkedésre specializálódott Turla kódnevet viselő vírusról (más néven Snake vagy Uroburos) számoltak be. Ezt folytatva a Kaspersky Lab kutató és elemző csapata most egy meglepő kapcsolatot talált a Turla és a már létező, valamint kutatók számára jól ismert Agent.BTZ nevű rosszindulatú vírusok között.
Az Agent.BTZ 2008-ban az Egyesült Államok Központi Parancsnokság helyi hálózatait fertőzte meg a Közel-Keleten, amelyet akkor "az amerikai hadsereg számítógépeit érintő, a történelem legsúlyosabb támadásának" neveztek. A Pentagon szakemberei mintegy 14 hónap alatt tudták rendbe tenni az Agent.BTZ által okozott károkat. A féreg már 2007 környékén képes volt vizsgálni a számítógépek bizalmas információit és adatokat küldeni, egy távoli C&C szerver segítségével.
A Kaspersky Lab először 2013 márciusában szerzett tudomást a Turla elnevezésű számítógépes kémkedési akcióról, amikor is a cég szakemberei egy igen kifinomult rootkitet vizsgáltak. Az eredetileg "Sun Rootkit" nevet viselő kártevő egy "sunstore.dmp" nevű fájlrendszert használt, amely a \\.\Sundrive1 és \\.\Sundrive2 neveken is elérhető volt. A "Sun Rootkit" és a "Snake" valójában egy és ugyanaz.
A kutatás során a Kaspersky Lab szakértői néhány érdekes kapcsolatot fedeztek fel a Turla és a többfunkciós Agent.BTZ között. Az Agent.BTZ féreg úgy tűnik, hogy több, későbbi súlyos támadásokat indító számítógépes kémprogramot is inspirált, beleértve a Red October-t, a Turla-t, valamint a Flame/Glauss-t.
Figyelembe véve ezeket a tényeket nyilvánvaló, hogy a négy számítógépes kémkedési akció fejlesztői részletesen tanulmányozták az Agent.BTZ működését, továbbá azt, hogy milyen fájlneveket használ, ami modellként szolgálhat az új kémprogramokkal és vírusokkal foglalkozó fejlesztőknek. Ezek alapján felmerül a kérdés, van-e közvetlen kapcsolat e kiberkémkedési eszközök fejlesztői között?
- Nem lehet következtetést levonni ezekből a tényekből. Az információk nyilvánosak voltak, amelyeket a fejlesztők használták a Red October vagy a Flame/Gauess létrehozásánál. Nem titok, hogy az Agent.BTZ "thumb.dd"-t használt, hogy információkat gyűjtsön a fertőzött rendszerektől, valamint ezen túlmenően a Turla és az Agent.BTZ XOR kulcsot használták a fejlesztők, hogy titkosítsák azokat log fájlokat, amelyek 2008-ban jelentek meg. Nem tudjuk pontosan, hogy ezt a kulcsot mikor használták először a Turla-ban, de láthatjuk, hogy a legújabb mintákban volt jelen 2013 és 2014 között. Ugyanakkor vannak olyan bizonyítékok, amelyek arra utalnak, hogy a Turla 2006-tól indult útjára, még mielőtt az Agent.BTZ-ről bármit is tudtunk volna, amely újabb nyitott kérdéseket hagyott maga után - mondta Aleks Gostev, a Kaspersky Lab vezető biztonsági szakértője.
Agent.BTZ – folytatódik?
Az Agent.BTZ féregnek számos módosult változata volt. Ma a korszerű védelmi megoldások blokkolják minden formáját. A Kaspersky Lab adatainak köszönhetően látható, hogy 2013-ban az Agent.BTZ-t közel 100 országban, 13 800 rendszerben azonosították, amelykből arra lehet következtetni, hogy valószínűleg több tíz ezer USB-meghajtót fertőzött meg az Agent.BTZ.
___ A Kaspersky Lab-ről
A Kaspersky Lab a világ legnagyobb magántulajdonban lévő végpontvédelmi megoldásokat gyártó vállalata. Az Egyesült Királyságban bejegyzett cég jelenleg csaknem 200 országban működik világszerte és több, mint 300 millió felhasználónak biztosít védelmet. További információ: www.kaspersky.com
