Οι ειδικοί της G-Data και της BAE Systems έδωσαν πρόσφατα στη δημοσιότητα πληροφορίες σχετικά με μια δυναμική επιχείρηση ψηφιακής κατασκοπείας με την κωδική ονομασία Turla (γνωστή και ως Snake ή Uroburos). Επιπλέον, η όμαδα έρευνας και ανάλυσης της Kaspersky Lab εντόπισε μια απρόσμενη σχέση μεταξύ του Turla και ενός υπάρχοντος κακόβουλου λογισμικού, το οποίο είναι γνωστό ως Agent.BTZ.
Το 2008, το Agent.BTZ «μόλυνε» τα τοπικά δίκτυα του Κεντρικού Επιτελείου των Ηνωμένων Πολιτειών στη Μέση Ανατολή. Τότε, είχε χαρακτηριστεί ως η «χειρότερη παραβίαση ηλεκτρονικών υπολογιστών του στρατού των ΗΠΑ στην ιστορία». Οι ειδικοί του Πενταγώνου χρειάστηκαν περίπου 14 μήνες για να απομακρύνουν εντελώς το Agent.BTZ από τα στρατιωτικά δίκτυα. Σαν αποτέλεσμα του περιστατικού, δημιουργήθηκε το ψηφιακό επιτελείο US Cyber Command. Το συγκεκριμένο worm, το οποίο πιστεύεται ότι δημιουργήθηκε το 2007, έχει τη δυνατότητα να σαρώνει τους υπολογιστές για να εντοπίζει ευαίσθητες πληροφορίες και να στέλνει τα δεδομένα σε έναν απομακρυσμένο Command and Control server.
Πηγή έμπνευσης
Η Kaspersky Lab ενημερώθηκε πρώτη φορά για την εκστρατεία ψηφιακής κατασκοπείας Turla το Μάρτιο του 2013, όταν οι ειδικοί της εταιρείας ερευνούσαν ένα περιστατικό που σχετίζεται με ένα ιδιαίτερα εξελιγμένο rootkit. Η αρχική ονομασία του ήταν “Sun rootkit”, με βάση το filename “sunstore.dmp” που χρησιμοποιείται ως εικονικό σύστημα αρχείων. Ταυτόχρονα, αναγνωρίζεται και ως “\.Sundrive1” και “\.Sundrive2″. Στην πραγματικότητα, το “Sun rootkit” και το Τurla ταυτίζονται.
Κατά τη διάρκεια της έρευνάς τους, οι ειδικοί της Kaspersky Lab ανακάλυψαν ενδιαφέρουσες διασυνδέσεις μεταξύ του Turla – ενός υπερσύγχρονου και πολυλειτουργικού προγράμματος – και του Agent.btz. Το worm Agent.btz φαίνεται να αποτέλεσε πηγή έμπνευσης για τη δημιουργία μερικών από τα πιο εξελιγμένα εργαλεία ψηφιακής κατασκοπείας μέχρι σήμερα, όπως το Red October, το Turla και το Flame/Gauss.
Είναι ξεκάθαρο ότι οι developers του Red October γνώριζαν για τις λειτουργίες του Agent.btz, καθώς η μονάδα USB Stealer που ανέπτυξαν (2010-2011) αναζητά τους φορείς των δεδομένων του worm (αρχεία «mssysmgr.ocx» και «thumb.dd»), τα οποία διαθέτουν πληροφορίες σχετικά με τα μολυσμένα συστήματα και αρχεία καταγραφής δραστηριοτήτων. Στη συνέχεια, έκλεβαν αυτές τις πληροφορίες από τις συνδεδεμένες συσκευές USB.
Το Turla χρησιμοποιεί τα ίδια ονόματα αρχείων για τα log files (“mswmpdat.tlb”, “winview.ocx” και “wmcache.nld”) ενώ βρίσκεται στο «μολυσμένο» σύστημα. Επίσης, χρησιμοποιεί το ίδιο κλειδί XOR για να κρυπτογραφεί τα log files ως Agent.btz. Το Flame/Gauss χρησιμοποιεί παρόμοιες ονομασίες όπως αρχεία “*.ocx” και “thumb*.db”. Επιπλέον, χρησιμοποιούν τις συσκευές USB για να μεταφέρουν τα κλεμμένα δεδομένα.
Ποιος είναι ο υπεύθυνος;
Λαμβάνοντας υπόψη αυτά τα γεγονότα, γίνεται εμφανές ότι οι developers των τεσσάρων εκστρατειών ψηφιακής κατασκοπείας μελέτησαν λεπτομερώς το Agent.btz, ώστε να καταλάβουν πώς δουλεύει και ποια filenames χρησιμοποιεί. Στη συνέχεια, αξιοποίησαν αυτές τις πληροφορίες ως πρότυπο για να αναπτύξουν τα κακόβουλα προγράμματα, τα οποία είχαν παρόμοιους σκοπούς. Είναι, όμως, αυτό αρκετό για να αποδείχθει ότι οι developers αυτών των εργαλείων κυβερνητικής κατασκοπείας έχουν άμεση σχέση μεταξύ τους;
«Δεν είναι δυνατόν να βγάλουμε ένα τέτοιο συμπέρασμα βασιζόμενοι αποκλειστικά σε αυτά τα γεγονότα», δήλωσε ο AleksGostev, Chief Security Expert στην Kaspersky Lab. «Οι πληροφορίες που χρησιμοποιούνται από τους developers ήταν δημοσίως γνωστές όταν αναπτύχθηκαν οι εκστρατείες Red October και Flame/Gauss. Δεν αποτελεί μυστικό το γεγονός ότι το Agent.btz χρησιμοποίησε το “thumb.dd” σαν μέσο για να συλλέξει πληροφορίες από τα “μολυσμένα” συστήματα. Επιπλέον, το κλειδί XOR, το οποίο χρησιμοποιήθηκε από τους developers του Turla και του Agent.btz για να κρυπτογραφήσουν τα log files τους, είχε δημοσιοποιηθεί το 2008. Δεν γνωρίζουμε ακόμα πότε χρησιμοποιήθηκε αυτό το κλειδί για πρώτη φορά στο Turla, αλλά μπορούμε να το δούμε ξεκάθαρα στα τελευταία δείγματα του malware, τα οποία δημιουργήθηκαν μεταξύ 2013 και 2014. Ταυτόχρονα, υπάρχουν κάποια στοιχεία που δείχνουν ότι η ανάπτυξη του Turla ξεκίνησε το 2006 – πολύ πριν από κάθε γνωστό δείγμα του Agent.btz. Έτσι, το ερώτημα παραμένει ανοιχτό», συμπλήρωσε.
Agent.btz – Θα υπάρξει και συνέχεια;
Μεγάλος αριθμός τροποποιήσεων έχει πραγματοποιηθεί στο worm Agent.btz. Σήμερα, τα προϊόντα της Kaspersky Lab εντοπίζουν όλες τις μορφές του worm, οι οποίες έχουν καταχωρηθεί με την κωδική ονομασία Worm.Win32.Orbina. Χάρη στη μέθοδο αντιγραφής (μέσω συσκευών USB) που χρησιμοποιεί, το worm είναι αρκετά διαδεδομένο σε παγκόσμιο επίπεδο. Από τα δεδομένα της Kaspersky Lab, μπορούμε να δούμε ότι το Agent.btz εντοπίστηκε σε 13.800 συστήματα σε 100 χώρες το 2013. Αυτό μας οδηγεί στο συμπέρασμα ότι πιθανόν υπάρχουν δεκάδες χιλιάδες συσκευές USB σε όλο τον κόσμο που έχουν προσβληθεί από το Agent.btz και περιέχουν το αρχείο “thumb.dd” με πληροφορίες για τα «μολυσμένα» συστήματα.
Περισσότερες λεπτομέρειες είναι διαθέσιμες στον ιστότοπο Securelist.com
