Gli esperti di G-Data e Bae Systems hanno fornito di recente alcune informazioni su una persistente operazione di cyber-spionaggio che aveva come nome in codice Turla (noto anche come Snake o Uroburos). Inoltre, il team di ricerca e analisi di Kaspersky Lab ha trovato una connessione inaspettata tra Turla ed un pezzo esistente di malware conosciuto come Agent.Btz.
Nel 2008, Agent.Btz ha infettato le reti locali del Comando Centrale degli Stati Uniti in Medio Oriente, e fu definito come la “peggiore violazione di computer dei militari statunitensi nella storia”. Ci sono voluti 14 mesi per gli specialisti del Pentagono per eliminare completamente Agent.Btz dalle reti militari, e fu proprio questa esperienza che portò alla creazione del Cyber Command americano. Il worm, che si ritiene sia stato creato intorno al 2007, ha la capacità di scansionare i computer per cercare di recuperare informazioni sensibili e inviare dati a un server remoto di comando e controllo.
Quattro campagne, un filo conduttore
Kaspersky Lab è venuto a conoscenza della campagna di cyber-spionaggio Turla a marzo 2013, quando gli esperti della società stavano indagando su un incidente che coinvolgeva un rootkit altamente sofisticato.
Durante questa ricerca gli esperti di Kaspersky Lab trovarono alcuni collegamenti interessanti con Agent.Btz. Il worm Agent.Btz sembra che abbia ispirato la creazione di una serie dei più sofisticati strumenti di cyber spionaggio presenti oggi, tra cui, oltre a Turla, anche Ottobre Rosso e Flame/Gauss.
Gli sviluppatori dello stesso Ottobre Rosso conoscevano perfettamente le funzionalità di Agent.Btz, dato che il loro modulo Usb Stealer (creato nel 2010-2011) cerca contenitori di dati del worm (i file “mssysmgr.ocx” e “thumb.dd”) che contengono informazioni sui sistemi infetti e registri delle attività, sottraendoli poi dalle unità Usb collegate.
Secondo queste informazioni, risulta ovvio che gli sviluppatori delle quattro campagne di cyber spionaggio hanno studiato Agent.Btz nel dettaglio per capirne il funzionamento e i nomi dei file utilizzati per usufruire di queste informazioni come modello per sviluppare dei programmi nocivi, tutti con obiettivi simili. Ma questo significa che esiste un legame diretto tra gli sviluppatori di questi strumenti di spionaggio informatico?
“Non è possibile trarre questa conclusione solo sulla base di queste informazioni – ha spiegato Aleks Gostev, Chief Security Expert di Kaspersky Lab -. Le informazioni utilizzate dagli sviluppatori sono state rese note pubblicamente al momento della creazione di Ottobre Rosso e di Flame/Gauss. Non è un segreto che Agent.Btz abbia usato “thumb.dd” come file contenitore per raccogliere informazioni dai sistemi infetti e che anche la chiave Xor, utilizzata dagli sviluppatori di Turla e Agent.Btz per crittografare i log file, sia stata anch’essa pubblicata nel 2008. Non siamo sicuri di quando questa chiave sia stata usata per la prima volta in Turla, ma siamo certi che sia stata utilizzata negli ultimi campioni di malware che sono stati creati intorno 2013-2014. Allo stesso tempo, a lasciare aperta la questione, ci sono alcune evidenze che segnano verso l’inizio dello sviluppo di Turla nel 2006, prima di qualsiasi campione conosciuto di Agent.Btz“.
Dai dati di Kaspersky Lab, è possibile vedere che nel 2013 Agent.Btz è stato scoperto su 13.800 sistemi in cento paesi. Si evince che probabilmente ci sono decine di migliaia di unità Usb in tutto il mondo infettate con Agent.Btz, contenenti il file “thumb.dd” con le informazioni sui sistemi infetti.
Maggiori dettagli sono disponibili sul nostro blog.