Hirdetés

A férgek csak jönnek, és kémkednek

A G-Data és a BAE Systems szakértői a közelmúltban kiadtak egy közleményt, amelyben egy tartós számítógépes kémkedésre specializálódott Turla kódnevet viselő vírusról (más néven Snake vagy Uroburos) számoltak be.

A Kaspersky Lab ma közölte, hogy a vírus további vizsgálata során a kutató és elemző csapatuk meglepő kapcsolatot talált a Turla és a már létező, valamint kutatók számára jól ismert Agent.BTZ nevű rosszindulatú vírusok között.

Hirdetés

Gyanúk

Az Agent.BTZ 2008-ban az Egyesült Államok Központi Parancsnokságának helyi hálózatait fertőzte meg a Közel-Keleten, amelyet akkor „az amerikai hadsereg számítógépeit érintő, a történelem legsúlyosabb támadásának” neveztek. A Pentagon szakemberei mintegy 14 hónap alatt tudták rendbe tenni az Agent.BTZ által okozott károkat. A féreg már 2007 környékén képes volt vizsgálni a számítógépek bizalmas információit és adatokat küldeni, egy távoli C&C szerver segítségével.

A Kaspersky Lab először 2013 márciusában szerzett tudomást a Turla elnevezésű számítógépes kémkedési akcióról, amikor is a cég szakemberei egy igen kifinomult rootkitet vizsgáltak. Az eredetileg „Sun Rootkit” nevet viselő kártevő, egy „sunstore.dmp” nevű fájlrendszert használt, amely a“\\.\Sundrive1” és \\.\Sundrive2 neveken is elérhető volt. A cég szerint a „Sun Rootkit” és a „Snake” valójában egy és ugyanaz.

A kutatás során a Kaspersky Lab szakértői néhány érdekes kapcsolatot fedeztek fel a Turla és a többfunkciós Agent.BTZ között. Az Agent.BTZ féreg, úgy tűnik, hogy több, későbbi súlyos támadásokat indító számítógépes kémprogramot is inspirált, beleértve a Red Octobert, a Turlát, valamint a Flame/Glausst.

Kapcsolatok

Figyelembe véve ezeket a tényeket, a Kaspersky szerint nyilvánvaló, hogy a négy számítógépes kémkedési akció fejlesztői részletesen tanulmányozták az Agent.BTZ működését, továbbá azt, hogy milyen fájlneveket használ, amely modellként szolgálhat az új kémprogramokkal és vírusokkal foglalkozó fejlesztőknek. Ezek alapján felmerül a kérdés, hogy van-e közvetlen kapcsolat ezen kiberkémkedési eszközök fejlesztői között?

„Nem lehet következtetést levonni ezekből a tényekből. Az információk nyilvánosak voltak, amelyeket a fejlesztők használták a Red October vagy a Flame/Gauess létrehozásánál. Nem titok, hogy az Agent.BTZ „thumb.dd”-t használt, hogy információkat gyűjtsön a fertőzött rendszerektől, valamint ezen túlmenően a Turla és az Agent.BTZ XOR kulcsot használták a fejlesztők, hogy titkosítsák azokat logfájlokat, amelyek 2008-ban jelentek meg. Nem tudjuk pontosan, hogy ezt a kulcsot mikor használták először a Turlában, de láthatjuk, hogy a legújabb mintákban volt jelen 2013 és 2014 között. Ugyanakkor vannak olyan bizonyítékok, amelyek arra utalnak, hogy a Turla 2006-tól indult útjára, még mielőtt az Agent.BTZ-ről bármit is tudtunk volna, amely újabb nyitott kérdéseket hagyott maga után” – nyilatkozta Aleksz Gosztyev, a Kaspersky Lab vezető biztonsági szakértője.

Agent.BTZ – folytatódik?

Az Agent.BTZ féregnek számos módosult változata volt. Ma a korszerű védelmi megoldások blokkolják minden formáját. A Kaspersky Lab adataiból az látható, hogy 2013-ban az Agent.BTZ-t közel 100 országban, 13 800 rendszerben azonosították, amelyekből arra lehet következtetni, hogy valószínűleg több tíz ezer USB-meghajtót fertőzött meg az Agent.BTZ.

Hirdetés

Azóta történt

Előzmények