A G-Data és a BAE Systems szakértői kiadtak egy közleményt, amelyben egy tartós számítógépes kémkedésre specializálódott Turla kódnevet viselő vírusról (Snake vagy Uroburos) számoltak be. A Kaspersky Lab kutató és elemző csapata pedig folytatva a munkát meglepő kapcsolatot talált a Turla és a már kutatók számára is jól ismert Agent.BTZ nevű rosszindulatú vírusok között.
Az Agent.BTZ 2008-ban az Egyesült Államok Központi Parancsnokság helyi hálózatait fertőzte meg a Közel-Keleten, amelyet akkor „az amerikai hadsereg számítógépeit érintő, a történelem legsúlyosabb támadásának” neveztek. A Pentagon szakemberei mintegy 14 hónap alatt tudták rendbe tenni az Agent.BTZ által okozott károkat. A féreg már 2007 környékén képes volt vizsgálni a számítógépek bizalmas információit és adatokat küldeni, egy távoli C&C szerver segítségével.
A Kaspersky Lab először 2013 márciusában szerzett tudomást a Turla elnevezésű számítógépes kémkedési akcióról, amikor is a cég szakemberei egy igen kifinomult rootkitet vizsgáltak. Az eredetileg „Sun Rootkit” nevet viselő kártevő, egy „sunstore.dmp” nevű fájlrendszert használt, amely a“.Sundrive1” és .Sundrive2 neveken is elérhető volt. A „Sun Rootkit” és a „Snake” valójában egy és ugyanaz.
A kutatás során a szakértők néhány érdekes kapcsolatot fedeztek fel a Turla és a többfunkciós Agent.BTZ között. Az Agent.BTZ féreg úgy tűnik, hogy több, későbbi súlyos támadásokat indító számítógépes kémprogramot is inspirált, beleértve a Red Octobert, a Turlat, valamint a Flame/Glausst.
Figyelembe véve ezeket a tényeket, nyilvánvaló, hogy a négy számítógépes kémkedési akció fejlesztői részletesen tanulmányozták az Agent.BTZ működését, továbbá azt, hogy milyen fájlneveket használ, amely modellként szolgálhat az új kémprogramokkal és vírusokkal foglalkozó fejlesztőknek. Ezek alapján felmerül a kérdés, hogy van-e közvetlen kapcsolat ezen kiberkémkedési eszközök fejlesztői között?
„Nem lehet következtetést levonni ezekből a tényekből. Az információk nyilvánosak voltak, amelyeket a fejlesztők használták a Red October vagy a Flame/Gauess létrehozásánál. Nem titok, hogy az Agent.BTZ „thumb.dd”-t használt, hogy információkat gyűjtsön a fertőzött rendszerektől, valamint ezen túlmenően a Turla és az Agent.BTZ XOR kulcsot használták a fejlesztők, hogy titkosítsák azokat log fájlokat, amelyek 2008-ban jelentek meg. Nem tudjuk pontosan, hogy ezt a kulcsot mikor használták először a Turlaban, de láthatjuk, hogy a legújabb mintákban volt jelen 2013 és 2014 között. Ugyanakkor vannak olyan bizonyítékok, amelyek arra utalnak, hogy a Turla 2006-tól indult útjára, még mielőtt az Agent.BTZ-ről bármit is tudtunk volna, amely újabb nyitott kérdéseket hagyott maga után.” - mondta Aleks Gostev, a Kaspersky Lab vezető biztonsági szakértője.
Az Agent.BTZ féregnek számos módosult változata volt. Ma a korszerű védelmi megoldások blokkolják minden formáját. A Kaspersky Lab adatainak köszönhetően látható, hogy 2013-ban az Agent.BTZ-t közel 100 országban, 13 800 rendszerben azonosították, amelykből arra lehet következtetni, hogy valószínűleg több tíz ezer USB-meghajtót fertőzött meg az Agent.BTZ.
Kép: news.techworld.com; saidaonline.com