Cyberspionage-operatie en de "ergste schending van Amerikaanse militaire computers in de geschiedenis" met elkaar verbonden

Onverwachte connectie ontdekt tussen operatie Turla en Agent.btz malware

Utrecht, 12 maart 2014 – Deskundigen van G-Data en BAE Systems maakten onlangs informatie bekend over een hardnekkige cyberspionage-operatie met de codenaam Turla (ook wel aangeduid als Snake of Uroburos). Naar aanleiding hiervan heeft Kaspersky Lab’s onderzoeks- en analyseteam nu een onverwachte connectie gevonden tussen Turla en een bestaand stukje malware, bekend als Agent.BTZ.

In 2008 infecteerde Agent.BTZ de lokale netwerken van het United States Central Command in het Midden-Oosten. Dit werd destijds aangeduid als de “ergste schending van Amerikaanse militaire computers in de geschiedenis”. Het kostte specialisten van het Pentagon bijna 14 maanden om Agent.BTZ volledig te verwijderen van de militaire netwerken. Deze ervaring vormde de aanleiding tot de oprichting van het Amerikaanse Cyber Command. De worm, waarvan men aannam dat deze rond 2007 was ontworpen, kan computers scannen op gevoelige informatie en gegevens versturen naar een command & control-server op afstand.

Inspiratiebron
Kaspersky Lab werd zich in maart 2013 voor het eerst bewust van de Turla cyberspionagecampagne. Deskundigen van het bedrijf onderzochten toen een incident met een zeer geavanceerde rootkit, oorspronkelijk bekend als “Sun rootkit”. Deze naam was gebaseerd op een bestandsnaam die gebruikt werd als een virtueel bestandssysteem, “sunstore.dmp”, en is ook toegankelijk als “\.Sundrive1” en “\.Sundrive2”. De “Sun rootkit” en Snake zijn in feite een en dezelfde.

Tijdens dit onderzoek vonden experts van Kaspersky Lab enkele interessante verbanden tussen het zeer geavanceerde, multifunctionele programma Turla en Agent.btz. De Agent.btz worm lijkt als inspiratie te hebben gediend voor de creatie van een reeks van de meest geavanceerde cyberspionage-instrumenten ooit, waaronder Red October, Turla en Flame/Gauss:

*Red October ontwikkelaars waren duidelijk op de hoogte van Agent.btz’s functionaliteit, aangezien hun USB Stealer-module (gecreëerd in 2010-2011) zoekt naar de data containers van de worm (“mssysmgr.ocx” en “thumb.dd” bestanden). Deze data containers bevatten informatie over geïnfecteerde systemen en activiteitenlogs en worden vervolgens gestolen van de aangesloten USB-drives.
*Turla gebruikt dezelfde bestandsnamen voor zijn logs (“mswmpdat.tlb”, “winview.ocx” en “wmcache.nld”) tijdens de opslag in het besmette systeem, en dezelfde XOR-sleutel voor de encryptie van zijn logbestanden als Agent.btz.
*Flame/Gauss maken gebruik van soortgelijke naamgeving zoals “*.ocx” bestanden en “thumb*.db”. Ook gebruiken zij de USB-drive als container voor gestolen data.

Gezien deze feiten is het duidelijk dat de ontwikkelaars van de vier cyberspionagecampagnes Agent.btz tot in detail hebben bestudeerd om te begrijpen hoe deze werkt en welke bestandsnamen het gebruikt. Vervolgens hebben zij deze informatie gebruikt als een model voor de ontwikkeling van de malware-programma’s, alle met vergelijkbare doelen. Maar betekent dit dat er een direct verband is tussen de ontwikkelaars van deze cyberspionage-instrumenten?

“Het is onmogelijk om een dergelijke conclusie puur op basis van deze feiten te trekken,” aldus Aleks Gostev, Chief Security Expert bij Kaspersky Lab. “De door de ontwikkelaars gebruikte informatie was publiekelijk bekend toen Red October en Flame/Gauss werden gecreëerd. Het is geen geheim dat Agent.btz “thumb.dd” als een containerbestand gebruikt om informatie van geïnfecteerde systemen te verzamelen. Daarnaast werd de XOR-sleutel die door de ontwikkelaars van Turla en Agent.btz werd gebruikt om hun logbestanden te versleutelen ook al gepubliceerd in 2008. We weten niet wanneer deze sleutel voor het eerst werd gebruikt in Turla, maar we kunnen het met zekerheid constateren in de laatste samples van de malware, gecreëerd rond 2013-2014. Tegelijkertijd is er enig bewijsmateriaal dat erop wijst dat de ontwikkeling van Turla van start is gegaan in 2006 – geruime tijd voordat een sample van Agent.btz bekend was, zodat de vraag niet met zekerheid kan worden beantwoord”.

Agent.btz – wordt vervolgd?
Er zijn talrijke aanpassingen geweest van de Agent.btz worm. Tegenwoordig detecteren onze producten al zijn varianten binnen de belangrijkste verdict van Worm.Win32.Orbina. Vanwege zijn replicatiemethode (via USB flash drives) is de worm inmiddels mondiaal wijdverspreid. Uit gegevens van Kaspersky Lab kan worden opgemaakt dat Agent.btz in 2013 werd aangetroffen op 13.800 systemen, verspreid over 100 landen. Dit leidt ons tot de conclusie dat wereldwijd waarschijnlijk tienduizenden USB-drives zijn geïnfecteerd met Agent.btz en het “thumb.dd” bestand bevatten met informatie over geïnfecteerde systemen.

Kijk voor meer details op Securelist.com:
http://www.securelist.com/en/blog/8191/Agent_btz_a_source_of_inspiration