Gli esperti di G-Data e BAE Systems hanno fornito di recente alcune informazioni su una persistente operazione di cyber-spionaggio che aveva come nome in codice Turla (noto anche come Snake o Uroburos). Inoltre, Kaspersky Lab ha trovato una connessione inaspettata tra Turla e un pezzo esistente di malware conosciuto come Agent.BTZ
Nel 2008, Agent.BTZ ha infettato le reti locali del Comando Centrale degli Stati Uniti in Medio Oriente, e fu definito come la “peggiore violazione di computer dei militari statunitensi nella storia”. Ci sono voluti 14 mesi per gli specialisti del Pentagono per eliminare completamente Agent.BTZ dalle reti militari e fu proprio questa esperienza che portò alla creazione del Cyber Command degli Stati Uniti. Il worm, che si ritiene fosse stato creato intorno al 2007, ha la capacità di scansionare i computer per cercare di recuperare informazioni sensibili e inviare dati a un server remoto di comando e controllo.
Fonte di ispirazione
Kaspersky Lab è venuto a conoscenza della campagna di cyber-spionaggio Turla a marzo 2013, quando gli esperti della società stavano indagando su un incidente che coinvolgeva un rootkit altamente sofisticato. Originariamente conosciuto come il nome di “Sun rootkit”, basato su un filename utilizzato come un file system virtuale “sunstore.dmp” è anche accessibile come “\\.\Sundrive1” e “\\.\Sundrive2”. Il “Sun rootkit” e Snake sono infatti la stessa cosa.
Durante questa ricerca gli esperti di Kaspersky Lab trovarono alcuni collegamenti interessanti tra Turla, un sofisticato programma multifunzionale e Agent.btz. Il worm Agent.btz sembra che abbia ispirato la creazione di una serie dei più sofisticati strumenti di cyber spionaggio presenti oggi, tra cui Ottobre Rosso, Turla e Flame/Gauss:
Gli sviluppatori di Ottobre Rosso conoscevano perfettamente le funzionalità di Agent.btz visto che il loro modulo USB Stealer (creato nel 2010-2011) cerca contenitori di dati del worm (i file “mssysmgr.ocx” e “thumb.dd”) che contengono informazioni sui sistemi infetti e registri delle attività, sottraendoli poi dalle unità USB collegate.
Mentre è presente in un sistema infetto, Turla utilizza per i propri log gli stessi nomi file (“mswmpdat.tlb”, “winview.ocx” e “wmcache.nld”) e la stessa chiave XOR per crittografare tali log, esattamente come Agent.btz.
Flame/Gauss utilizza un sistema simile adottando come nomenclatura file “*.ocx” e “thumb*.db”. Inoltre, usano le chiavette USB come contenitori per i dati rubati.
Una questione di attribuzione
Secondo queste informazioni, risulta ovvio che gli sviluppatori delle quattro campagne di cyber spionaggio hanno studiato Agent.btz nel dettaglio per capirne il funzionamento e i nomi dei file utilizzati per usufruire di queste informazioni come modello per sviluppare dei programmi nocivi, tutti con obiettivi simili. Ma questo significa che esiste un legame diretto tra gli sviluppatori di questi strumenti di spionaggio informatico?
“Non è possibile trarre questa conclusione solo sulla base di queste di queste informazioni” – dice Aleks Gostev, Chief Security Expert di Kaspersky Lab. “Le informazioni utilizzate dagli sviluppatori sono state rese note pubblicamente al momento della creazione di Ottobre Rosso e di Flame/Gauss’. Non è un segreto che Agent.btz abbia usato “thumb.dd” come file contenitore per raccogliere informazioni dai sistemi infetti e che anche la chiave XOR, utilizzata dagli sviluppatori di Turla e Agent.btz per crittografare i log file, sia stata anch’essa pubblicata nel 2008. Non siamo sicuri di quando questa chiave sia stata usata per la prima volta in Turla, ma siamo certi che sia stata utilizzata negli ultimi campioni di malware che sono stati creati intorno 2013-2014. Allo stesso tempo, a lasciare aperta la questione, ci sono alcune evidenze che segnano verso l’inizio dello sviluppo di Turla nel 2006 – prima di qualsiasi campione conosciuto di Agent.btz”.
Agent.btz – to be continued?
Ci sono state numerose modifiche del worm Agent.btz. Oggi, i nostri prodotti indirizzano tutte le sue forme all’interno del principale Worm.Win32.Orbina. Grazie al suo metodo di replica (tramite unità flash USB) si è diffusa a livello mondiale. Dai dati di Kaspersky Lab, è possibile vedere che nel 2013 Agent.btz è stato scoperto su 13.800 sistemi in 100 paesi. Questo ci porta a concludere che probabilmente ci sono decine di migliaia di unità USB in tutto il mondo infettate con Agent.btz, contenenti il file “thumb.dd” con le informazioni sui sistemi infetti.
