• Login
  • Προφίλ
  • Συνδρομές
  • Διαφήμιση
    • Περιοδικό
    • NewsLetter
    • Site
  • Newsletter
  • Επικοινωνία
    • Τομέας Σύνταξης
    • Τομέας Διαφήμισης
    • Τομέας Συνδρομών
facebook
youtube
  • ΑΡΧΙΚΗ
  • Articles
    • COVER ISSUE
    • ISSUE
    • PRACTICAL
    • REFERENCE
    • LAW
  • IT NEWS
  • SECURITY NEWS
  • BUSINESS IT
  • EVENTS
    • Συνέδρια
  • INTERVIEWS
  • REPORTS
  • ONLINE ΤΕΥΧΗ
    • IT Security Pro
    • Business IT

Πώς συνδέεται το Turla με τη «χειρότερη παραβίαση ηλεκτρονικών υπολογιστών του στρατού των ΗΠΑ»

Posted On 18 Μαρ 2014
Tag: Agent.BTZ., BAE Systems, G-Data, Kaspersky Lab, Red October, Sun rootkit, Turla

Οι ειδικοί της G-Data και της BAE Systems έδωσαν πρόσφατα στη δημοσιότητα πληροφορίες σχετικά με μια δυναμική επιχείρηση ψηφιακής κατασκοπείας με την κωδική ονομασία Turla (γνωστή και ως Snake ή Uroburos). Επιπλέον, η όμαδα έρευνας και ανάλυσης της Kaspersky Lab εντόπισε μια απρόσμενη σχέση μεταξύ του Turla και ενός υπάρχοντος κακόβουλου λογισμικού, το οποίο είναι γνωστό ως Agent.BTZ.

 

Το 2008, το Agent.BTZ «μόλυνε» τα τοπικά δίκτυα του Κεντρικού Επιτελείου των Ηνωμένων Πολιτειών στη Μέση Ανατολή. Τότε, είχε χαρακτηριστεί ως η «χειρότερη παραβίαση ηλεκτρονικών υπολογιστών του στρατού των ΗΠΑ στην ιστορία». Οι ειδικοί του Πενταγώνου χρειάστηκαν περίπου 14 μήνες για να απομακρύνουν εντελώς το Agent.BTZ από τα στρατιωτικά δίκτυα. Σαν αποτέλεσμα του περιστατικού, δημιουργήθηκε το ψηφιακό επιτελείο US Cyber Command. Το συγκεκριμένο worm, το οποίο πιστεύεται ότι δημιουργήθηκε το 2007, έχει τη δυνατότητα να σαρώνει τους υπολογιστές για να εντοπίζει ευαίσθητες πληροφορίες και να στέλνει τα δεδομένα σε έναν απομακρυσμένο Command and Control server.

 

Πηγή έμπνευσης

Η Kaspersky Lab ενημερώθηκε πρώτη φορά για την εκστρατεία ψηφιακής κατασκοπείας Turla το Μάρτιο του 2013, όταν οι ειδικοί της εταιρείας ερευνούσαν ένα περιστατικό που σχετίζεται με ένα ιδιαίτερα εξελιγμένο rootkit. Η αρχική ονομασία του ήταν “Sun rootkit”, με βάση το filename “sunstore.dmp” που χρησιμοποιείται ως εικονικό σύστημα αρχείων. Ταυτόχρονα, αναγνωρίζεται και ως “\.Sundrive1” και “\.Sundrive2″. Στην πραγματικότητα, το “Sun rootkit” και το Τurla ταυτίζονται.

 

Κατά τη διάρκεια της έρευνάς τους, οι ειδικοί της Kaspersky Lab ανακάλυψαν ενδιαφέρουσες διασυνδέσεις μεταξύ του Turla – ενός υπερσύγχρονου και πολυλειτουργικού προγράμματος – και του Agent.btz. Το worm Agent.btz φαίνεται να αποτέλεσε πηγή έμπνευσης για τη δημιουργία μερικών από τα πιο εξελιγμένα εργαλεία ψηφιακής κατασκοπείας μέχρι σήμερα, όπως το Red October, το Turla και το Flame/Gauss.

 

Είναι ξεκάθαρο ότι οι developers του Red October γνώριζαν για τις λειτουργίες του Agent.btz, καθώς η μονάδα USB Stealer που ανέπτυξαν (2010-2011) αναζητά τους φορείς των δεδομένων του worm (αρχεία «mssysmgr.ocx» και «thumb.dd»), τα οποία διαθέτουν πληροφορίες σχετικά με τα μολυσμένα συστήματα και αρχεία καταγραφής δραστηριοτήτων. Στη συνέχεια, έκλεβαν αυτές τις πληροφορίες από τις συνδεδεμένες συσκευές USB.

 

Το Turla χρησιμοποιεί τα ίδια ονόματα αρχείων για τα log files (“mswmpdat.tlb”, “winview.ocx” και “wmcache.nld”) ενώ βρίσκεται στο «μολυσμένο» σύστημα. Επίσης, χρησιμοποιεί το ίδιο κλειδί XOR για να κρυπτογραφεί τα log files ως Agent.btz. Το Flame/Gauss χρησιμοποιεί παρόμοιες ονομασίες όπως αρχεία “*.ocx” και “thumb*.db”. Επιπλέον, χρησιμοποιούν τις συσκευές USB για να μεταφέρουν τα κλεμμένα δεδομένα.

 

Ποιος είναι ο υπεύθυνος;

Λαμβάνοντας υπόψη αυτά τα γεγονότα, γίνεται εμφανές ότι οι developers των τεσσάρων εκστρατειών ψηφιακής κατασκοπείας μελέτησαν λεπτομερώς το Agent.btz, ώστε να καταλάβουν πώς δουλεύει και ποια filenames χρησιμοποιεί. Στη συνέχεια, αξιοποίησαν αυτές τις πληροφορίες ως πρότυπο για να αναπτύξουν τα κακόβουλα προγράμματα, τα οποία είχαν παρόμοιους σκοπούς. Είναι, όμως, αυτό αρκετό για να αποδείχθει ότι οι developers αυτών των εργαλείων κυβερνητικής κατασκοπείας έχουν άμεση σχέση μεταξύ τους;

 

«Δεν είναι δυνατόν να βγάλουμε ένα τέτοιο συμπέρασμα βασιζόμενοι αποκλειστικά σε αυτά τα γεγονότα», δήλωσε ο AleksGostev, Chief Security Expert στην Kaspersky Lab. «Οι πληροφορίες που χρησιμοποιούνται από τους developers ήταν δημοσίως γνωστές όταν αναπτύχθηκαν οι εκστρατείες Red October και Flame/Gauss. Δεν αποτελεί μυστικό το γεγονός ότι το Agent.btz χρησιμοποίησε το “thumb.dd” σαν μέσο για να συλλέξει πληροφορίες από τα “μολυσμένα” συστήματα. Επιπλέον, το κλειδί XOR, το οποίο χρησιμοποιήθηκε από τους developers του Turla και του Agent.btz για να κρυπτογραφήσουν τα log files τους, είχε δημοσιοποιηθεί το 2008. Δεν γνωρίζουμε ακόμα πότε χρησιμοποιήθηκε αυτό το κλειδί για πρώτη φορά στο Turla, αλλά μπορούμε να το δούμε ξεκάθαρα στα τελευταία δείγματα του malware, τα οποία δημιουργήθηκαν μεταξύ 2013 και 2014. Ταυτόχρονα, υπάρχουν κάποια στοιχεία που δείχνουν ότι η ανάπτυξη του Turla ξεκίνησε το 2006 – πολύ πριν από κάθε γνωστό δείγμα του Agent.btz. Έτσι, το ερώτημα παραμένει ανοιχτό», συμπλήρωσε.

 

Agent.btz – Θα υπάρξει και συνέχεια;

Μεγάλος αριθμός τροποποιήσεων έχει πραγματοποιηθεί στο worm Agent.btz. Σήμερα, τα προϊόντα της Kaspersky Lab εντοπίζουν όλες τις μορφές του worm, οι οποίες έχουν καταχωρηθεί με την κωδική ονομασία Worm.Win32.Orbina. Χάρη στη μέθοδο αντιγραφής (μέσω συσκευών USB) που χρησιμοποιεί, το worm είναι αρκετά διαδεδομένο σε παγκόσμιο επίπεδο. Από τα δεδομένα της Kaspersky Lab, μπορούμε να δούμε ότι το Agent.btz εντοπίστηκε σε 13.800 συστήματα σε 100 χώρες το 2013. Αυτό μας οδηγεί στο συμπέρασμα ότι πιθανόν υπάρχουν δεκάδες χιλιάδες συσκευές USB σε όλο τον κόσμο που έχουν προσβληθεί από το Agent.btz και περιέχουν το αρχείο “thumb.dd” με πληροφορίες για τα «μολυσμένα» συστήματα.

 

Περισσότερες λεπτομέρειες είναι διαθέσιμες στον ιστότοπο Securelist.com

  • google-share
Previous Story

Grayware: Ξεδιαλύνοντας κάθε σκιά γύρω από την αγορά του λογισμικού φορητών συσκευών

Next Story

Έρευνα της Economist Intelligence Unit σε συνεργασία με την Arbor Networks δείχνει ότι το 83% των επιχειρήσεων δεν είναι πλήρως προετοιμασμένο να διαχειριστεί ένα διαδικτυακό περιστατικό ασφαλείας

Σχετικά Άρθρα

off

Σχόλιο της Kaspersky Lab αναφορικά με τις ευπάθειες στο λογισμικό επικοινωνίας WhatsApp

Posted On 15 Μαΐ 2019
off

Η Kaspersky Lab προστατεύει τις επιχειρήσεις blockchain από ψηφιακές επιθέσεις και απάτες

Posted On 09 Μαΐ 2019
off

Η Kaspersky Lab ενώνει τις δυνάμεις της με βιομηχανικούς ηγέτες, παρέχοντας πρακτική τεχνική καθοδήγηση για το IoT

Posted On 28 Φεβ 2019

Leave a Reply Ακύρωση απάντησης

*
*

ΤΕΛΕΥΤΑΙΟ ΤΕΥΧΟΣ

Περιεχόμενα τεύχους

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

Login

 
 
Forgot Password

Business IT

ΑΡΧΕΙΟ ΠΕΡΙΟΔΙΚΩΝ

Smart Press A.E. | Μάγερ 11, 10438, Αθήνα | Τηλ.: 210 5201500, Fax: 210 5241900
Το itsecuritypro.gr χρησιμοποιεί cookies. Προχωρώντας στο περιεχόμενο, συναινείτε με την αποδοχή τους.Αποδοχή Περισσότερα
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Non-necessary

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.