קוד זדוני עדיין משמש תוקפים 20 שנה לאחר יצירתו

דלת אחורית ששימשה לפני 20 שנה בפעילות Moonlight Maze נגד מטרות ממשלה וצבא בארה"ב ממשיכה לשרת את Turla גם ב- 2017. חוקרי מעבדת קסרפסקי יצאו לטיול בהיסטוריה הקצרה של הסייבר.

ב- 2016, במהלך מחקר עבור הספר שלו  "עליית המכונות" (Rise of the Machines), איתר תומס ריד מקינגס קולג' בלונדון מנהל מערכת לשעבר ששרת בארגון שלו נחטף כדי לשמש כפרוקסי עבור תוקפי Moonlight Maze. השרת, HRTest, שימש לצורך הוצאת התקפות על ארה"ב. איש ה-IT שנמצא כעת בגמלאות שמר על השרת המקורי ועל עותקים של כל דבר הקשור להתקפות, ומסר אותם לקינגס קולג' ולמעבדת קספרסקי לצורך ניתוח נוסף. חוקרי מעבדת קספרסקי, חואן אנדרס גוארו-סעד וקוסטין ריאו, יחד עם תומס ריד ודני מור מקינגס קולג', בילו תשעה חודשים בניתוח טכני עמוק של דוגמיות אלה. הם שחזרו את הפעילות, הכלים והטכניקות של התוקפים, וערכו חקירה מקבילה כדי לראות אם הם יכולים להוכיח את הטענה לגבי הקשר עם Turla.

הדוחות העדכניים על Moonlight Maze מראים כיצד, החל משנת 1996, רשתות ממשלתיות ורשתות של צבא ארה"ב, וכן של אוניברסיטאות, מכוני מחקר ואפילו מחלקת האנרגיה האמריקאית, זיהו פריצות במערכות שלהם. ב-1998 פתחו ה-FBI ומחלקת ההגנה האמריקאית בחקירה מקיפה. הסיפור הפך לציבורי ב-1999, אבל עדויות רבות נותרו חסויות, מה שהותיר את הפרטים אודות Moonlight Maze אפופים במסתורין. במהלך השנים, החוקרים המקוריים של הפרשה ב-3 מדינות שונות ציינו כי Moonlight Maze התפתחה והפכה ל-Turla – שחקן איום דובר רוסית המוכר גם כ- Snake, Uroburos, Venomous, Bear ו- Krypton. הסברה הנפוצה היא ש-Turla פעילה מאז 2007.

Moonlight Maze הייתה התקפה מבוססת יוניקס בקוד פתוח כנגד מערכות סולאריס, והממצאים מראים כי  היא עשתה שימוש בדלת אחורית המבוססת על LOKI2 (תוכנה שפורסמה ב-1996 ומאפשרת למשתמשים לחלץ נתונים דרך ערוצים סמויים). הדבר הוביל את החוקרים לבצע בחינה נוספת של חלק מהדוגמיות הנדירות ששימשו את Turla שנחשפה על ידי מעבדת קספרסקי ב- 2014. נמצא כי תחת השם Penquin Turla, גם דוגמיות אלה התבססו על LOKI2. יותר מכך, הניתוח החוזר מראה כי כולן עשו שימוש בקוד שנוצר בין 1999 ל-2004.

באופן יוצא דופן, קוד זה עדיין משמש בהתקפות. הוא זוהה פעיל בשטח ב-2011 במסגרת התקפה על Ruag, קבלן של מערכת הביטחון בשוויץ, ויוחס לקבוצת  Turla. לאחר מכן, במרץ 2017, חוקרי מעבדת קספרסקי חשפו דוגמיות חדשה של Penquin Turla, שהגיעה ממערכת בגרמניה. אפשרי כי Turla משתמשת בקוד ישן לצורך התקפות על ישויות מאובטחות מאוד שקשה לחדור אליהן באמצעות כלי סטנדרטיים יותר של חלונות.

"בשנות ה-90 המאוחרות, אף אחד לא צפה את ההיקף והעוצמה של מתקפות ריגול סייבר מתואמות. אנו צריכים לשאול את עצמנו מדוע התוקפים עדיין מסוגלים למנף בהצלחה קוד עתיק שכזה בהתקפות מודרניות. האנליזה של דוגמיות Moonlight Maze אינה רק מחקר ארכיאולוגי מרתק, היא גם תזכורת כי יריבים עם מימון כבד אינם הולכים לשום מקום, ועלינו מוטלת המשימה להגן על מערכות עם אותה רמה של כישורים", אמר חואן אנדרס גוארו-סעד, חוקר אבטחה בכיר, צוות מחקר וניתוח בינלאומי, מעבדת קספרסקי.

הקבצים של Moonlight Maze שנחשפו לאחרונה מגלים פרטים מרתקים לגבי הדרך בה ההתקפות נערכו באמצעות רשת מורכבת של פרוקסים, ועל בסיס רמה גבוהה של יכולות וכלים שהיו ברשתו התוקפים. מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה קוד זדוני המשמש את Moonlight Maze ו- Penquin Turla.