Kako su Turla i “najveća provala u američke računare ikada“ povezane?

Kaspersky LabStručnjaci iz G-Data i BAE sistema su nedavno objavili informacije o sajber špijunskoj operaciji čiji je naziv Turla (takođe poznata i pod nazivima Snake i Uroburos). Takođe, analitički i istraživački tim kompanije Kaspersky Lab su pronašli neočekivanu vezu između Turle i postojećeg malvera poznatog kao Agent.BTZ.

2008. godine, malver Agent.BTZ je zarazio lokalne mreže Američke centralne komande na Srednjem Istoku, i to je tada nazvano „najvećom provalom američkih računara ikada“. Stručnjacima u Pentagonu je trebalo nekih 14 meseci da potpuno uklone malver iz vojnih mreža, i to je dovelo do stvaranja Američke sajber komande. Crv, za koji se veruje da je napravljen oko 2007. godine, može da pretraži osetljive podatke u računarima i da ih pošalje na daljinsku komandu i na kontrolni server.

Izvor inspiracije

Kompanija Kaspersky Lab je prvi put saznala za sajber špijunsku kampanju Turla u martu 2013, kada su stručnjaci iz kompanije istraživali jedan problem koji je izazvao visokorazvijeni rootkit.  Prvobitno poznat kao “Sun rootkit”, zasnovan na imenu datoteke koji je korišćen kao virtuelni fajl sistem “sunstore.dmp”, takođe je dostupan i kao \\.\Sundrive1 i \\.\Sundrive2. “Sun rootkit” i Snake su zapravo jedno te isto.

Upravo tokom ovog istraživanja stručnjaci iz kompanije Kaspersky Lab su uočili neke zanimljive sličnosti između Turle, visoko razvijenog, multifunkcionalnog programa i malvera Agent.BTZ. Ovaj crv je izgleda poslužio kao inspiracija za stvaranje niza najrazvijenijih programa sa sajber špijunažu, uključujući Red October, Turla i Flame/Gauss:

*Osnivači programa Red October su očigledno znali za funkcionalnost koju Agent.BTZ ima, jer njihov USB Stealer modul (napravljen 2010-2011) traži skladišta sa podacima (“mssysmgr.ocx” i “thumb.dd” fajlove) koji sadrže podatke o zaraženim sistemima i zatim ih krade sa priključenih USB uređaja.

*Turla koristi iste nazive fajlova za svoje logs (“mswmpdat.tlb”, “winview.ocx” i “wmcache.nld”) dok se nalaze u zaraženom sistemu, i isti XOR ključ za enkripciju log fajlova kao Agent.btz.

*Flame/Gauss koristi slične nazive kao što su “*.ocx” fajlovi i “thumb*.db”. Takođe, koriste USB uređaj kao skladište za ukradene podatke.

Pitanje zasluge

Imajući u vidu ove činjenice, očigledno je da su ljudi koji su napravili ova četiri programa za sajber špijunažu do detalja proučili Agent.btz da bi razumeli kako on radi, imena fajlova koje koristi, i iskoristili su te informacije kao osnovu za razvoj malvera koji imaju slične ciljeve. Ali da li to znači da postoji direktna veza između onih koji su razvili ove programe za sajber špijunažu?

“Nemoguće je izvesti takav zaključak samo na osnovu ovih činjenica”-kaže Aleks Gostev, glavni bezbednosni stručnjak u kompaniji Kaspersky Lab. “Informacije koje su koristili ljudi koji su napravili te programe su bile poznate u vreme razvoja Red October-a i Flame/Gauss-a. Nije tajna da je Agent.btz koristio “thumb.dd” kao skladište za prikupljanje podataka iz zaraženih sistema i takođe, XOR ključ koji su koristili stvaraoci Turle i Agenta.btz za enkripciju log fajlova, je takođe objavljen 2008. Ne znamo kada je ovaj ključ prvi put upotrebljen u Turli, ali to jasno možemo da vidimo u najnovijim primerima malvera koji su napravljeni 2013-2104. Istovremeno, postoje neki dokazi koji upućuju da je razvoj Turle započet 2006-pre bilo kog poznatog primera Agenta.btz. što ne daje odgovor na pitanje.”

Agent.btz – nastaviće se?

Postoji mnogo modifikacija crva Agent.btz. Danas, naši proizvodi detektuju sve njegove forme u okviru glavne verdict Worm.Win32.Orbina. Zbog svoje metode kopiranja (preko USB uređaja) postao je dostupan širom sveta. Iz podataka kompanije Kaspersky Lab može da se vidi da je u 2013. godini Agent.btz otkriven u 13800 sistema u preko 100 zemalja. Ovo nas dovodi do zaključka da postoji verovatno na desetine hiljada USB uređaja širom sveta koji su zaraženi malverom Agent.btz, koji sadrže “thumb.dd” fajl sa podacima o zaraženim sistemima.

Saznajte više na Securelist.com.

O kompaniji Kaspersky Lab

Kompanija Kaspersky Lab je najveća privatna kompanija za proizvodnju zaštitnih programa za endpoint uređaje na svetu. Kompanija se nalazi među četiri najveća prodavca bezbednosnih programa za korisnike endpoint uređaja. Kroz njenu bogatu istoriju dužu od 16 godina kompanija Kaspersky Lab je ostala innovator u oblasti IT bezbednosti i obezbeđuje efikasna bezbednosna rešenja za velike kompanije, mala i srednja preduzeća i individualne potrošače. Kompanija Kaspersky Lab sa sedištem u Engleskoj, trenutno posluje u skoro 200 zemalja i oblasti širom sveta, obezbeđujući zaštitu za više od 300 miliona korisnika u svetu. Više informacija na www.kaspersky.com 

 * Kompanija se nalazi na četvrtom mestu po rangiranju IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Ova procena je objavljena u izveštaju IDC report “Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Izveštaj je uključio proizvođače softvera prema zaradama koje su ostvarili od prodaje bezbednosnih programa za endpoint uređaje u 2012. godini.

newsmaster