A equipe de pesquisa e análise da Kaspersky Lab descobriu agora uma ligação inesperada entre o Turla e uma parte existente do malware conhecido como Agent.BTZ. Especialistas do G-Data e BAE Systems também divulgaram informações sobre uma operação de espionagem cibernética persistente (APT) chamada Turla (também conhecida como Snake ou Uroburos).
Em 2008, o Agent.BTZ infectou a rede de computadores do Centro de Comando Militar dos Estados Unidos no Oriente Médio. Na época, o incidente foi chamado de "pior violação de computadores militares da história dos EUA". Os especialistas do Pentágono demoraram 14 meses para desinfetar completamente o Agent.BTZ das redes militares, e foi essa experiência que levou à criação da divisão de ciberdefesa do governo americano. O worm, que se acredita ter sido criado em 2007, tem a capacidade de varrer os computadores para obter informações sensíveis e enviar dados para um servidor de comando e controle remoto.
Fonte de inspiração
A Kaspersky Lab tomou conhecimento da campanha de espionagem cibernética Turla em março de 2013, quando os especialistas da empresa estavam investigando um incidente envolvendo um rootkit altamente sofisticado. Originalmente conhecido como o "rootkit Sun", com base em um nome de arquivo utilizado como um sistema de arquivos virtual "sunstore.dmp", ele também é acessível como "\ \.\Sundrive1" e "\ \.\Sundrive2". O "rootkit Sun" e Snake são de fato a mesma coisa.
Foi durante esta pesquisa que os especialistas da Kaspersky Lab descobriram algumas ligações interessantes entre o Turla, um programa altamente sofisticado e multifuncional e o Agent.btz. O worm Agent.btz parece ter servido de inspiração para a criação de uma gama de ferramentas mais sofisticadas de espionagem cibernética, até à data, incluindo Red October, Turla e Flame/Gauss:
*Desenvolvedores da campanha de ciberespionagem "Red October" sabiam claramente sobre as funcionalidades do Agent.btz já que seu módulo USB Stealer (criado em 2010-2011) possui uma função para buscar os contêineres de dados do Turla (arquivos "mssysmgr.ocx" e "thumb.dd") que detêm informações sobre os sistemas infectados e logs de atividade, para depois roubá-las dos drives USB conectados.
* O Turla usa os mesmos nomes de arquivos para seus logs ("mswmpdat.tlb", "winview.ocx" e "wmcache.nld"), enquanto estão armazenados no sistema infectado, e utilizam a mesma chave XOR para cifrar seus arquivos de log, exatamente como faz o Agent.btz.
*O Flame/Gauss usa convenções de nomenclatura semelhantes, como arquivos "*.ocx" e "thumb*.db". Além disso, eles usam o drive USB como um recipiente para os dados roubados.
Uma questão de distribuição
Considerando estes fatos, é óbvio que os desenvolvedores das quatro campanhas de espionagem cibernética estudaram o Agent.btz detalhadamente para entender como ele funciona e os nomes de arquivos que utiliza, e usaram essa informação como um modelo para o desenvolvimento de programas de malware, todos com objetivos semelhantes. Mas isso significa que há uma ligação direta entre os desenvolvedores destas ferramentas de espionagem cibernética?
"Não é possível tirar tal conclusão com base nesses fatos por si só", afirmou Aleks Gostev, especialista chefe de segurança da Kaspersky Lab. "A informação usada por desenvolvedores era de conhecimento público no momento do "Red October" e da criação do Flame/Gauss. Não é nenhum segredo que o Agent.btz usou o "thumb.dd" como um arquivo recipiente para coletar informações dos sistemas infectados e, além disso, a chave XOR ter sido utilizada pelos desenvolvedores do Turla e Agent.btz para cifrar seus arquivos de log. Nós não sabemos quando esta chave foi usada pela primeira vez no Turla, mas podemos observá-la com certeza nas últimas amostras de malware que foram criadas em torno de 2013-2014. Ao mesmo tempo, há alguma evidência que aponta para o desenvolvimento do Turla em 2006 – antes de qualquer amostra conhecida de Agent.btz, o que deixa a questão em aberto."
Agent.btz – terá continuação?
Houve numerosas modificações do worm Agent.btz. Hoje, nossos produtos detectam todas as suas formas com o veredito Worm.Win32.Orbina. Seu método de replicação (via pendrives USB) tornou-se generalizada a nível mundial. A partir de dados da Kaspersky Lab, é possível saber que em 2013 o Agent.btz foi detectado em 13.800 sistemas em 100 países. Isso nos leva a concluir que há, provavelmente, dezenas de milhares de unidades USB em todo o mundo infectadas com o Agent.btz, que contém o arquivo "thumb.dd", com informações sobre os sistemas infectados.