«Лабораторія Касперського» аналізує зв'язок між собою кібершпигунів

«Лабораторія Касперського» проаналізувала зв'язок програми Turla, яка також відома як Snake або Uroburos, з іншими відомими кибершпионами. Після випуску звітів по цій загрозі низкою компаній, що працюють у сфері IT-безпеки, багато експертів в даній області виступили з висновком про зв'язок Turla та іншого гучного свого часу шкідливого ПЗ - так званого Agent.BTZ. Фахівці глобального дослідницького центру «Лабораторії Касперського» проаналізували дані висновки.

У 2008 році черв'як Agent.BTZ заразив локальні мережі Центрального командування збройних сил США на Близькому Сході і був названий найгіршим подією в комп'ютерній історії ЗС США. Згідно з деякими джерелами, Пентагон витратив майже 14 місяців на ліквідацію наслідків зараження мереж ВС, і в результаті цей випадок послужив поштовхом для створення Кібернетичного командування США, внутрішнього підрозділи ЗС США. Шкідлива програма, імовірно створена в 2007 році, містила функціонал для пошуку і відправки цінної інформації з заражених комп'ютерів у віддалений центр управління.

«Лабораторія Касперського» вперше зіткнулася з вищезазначеним шкідником Turla в березні 2013 року під час розслідування іншого інциденту, пов'язаного із застосуванням вкрай складного руткіта. Тоді ж у ході розслідування фахівці «Лабораторії Касперського» виявили цікаві факти, які вказують на те, що, по всій видимості, черв'як Agent.BTZ служив зразком для творців найбільш технічно просунутого кіберзброї - Red October, Turla, а також Flame і Гаусса.

Ретельний аналіз показав, що творці Red October, очевидно, знали про функціонал хробака Agent.BTZ. Написаний ними в 2010-2011 модуль USB Stealer серед іншого шукає і копіює з USB-носіїв архіви з накопиченої хробаком інформацією, а також його журнальні файли. Turla в свою чергу використовує ті ж, що і Agent.BTZ, імена файлів для ведення журналу власних дій і точно такий же ключ для шифрування. Нарешті, програма Flame дотримується схожих з черв'яком розширень файлів і також зберігає вкрадену інформацію на USB-пристроях.

Прийнявши це до уваги, можна стверджувати, що творці вищезазначених кампаній кібершпіонажу досконально вивчили роботу хробака Agent.BTZ і перейняли досвід для розробки власних шкідливих програм зі схожими цілями. Однак це не дає можливості говорити про прямий зв'язок між групами зловмисників.

«Виходячи з тих даних, якими ми володіємо, не можна зробити такої заяви. Вся інформація, використана розробниками цих шкідливих програм, була відкрита широкій публіці як мінімум на момент створення Red October і Flame. Не були також секретом і назви файлів, в яких хробак накопичував інформацію з заражених систем. Нарешті, ключ шифрування, який ідентичний у випадках Turla і Agent.BTZ, був оприлюднений ще у 2008-м. Невідомо, з яких пір він був застосований у Turla. З одного боку, ми знайшли його в зразках, створених у цьому і минулому роках, з іншого боку, є інформація про те, що створення Turla почалося в 2006, перш ніж був виявлений зразок Agent.BTZ. Внаслідок цього питання про зв'язок розробників кіберзброї поки залишається відкритим», - підсумував головний антивірусний експерт «Лабораторії Касперського».

На сьогоднішній день Хробак Agent.BTZ має безліч модифікацій, які виявляються корпоративними та користувацькими продуктами «Лабораторії Касперського». За даними хмарної інфраструктури Kaspersky Security Network, тільки в 2013 році черв'як був виявлений на майже 14 тисячах комп'ютерів у 100 країнах.